Politica de securitate
Prezenta lege oferă temeiul juridic necesar pentru aplicarea Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.
Parlamentul adoptă această lege organică.
Articolul 1. Scopul legii
Scopul acestei legi este de a asigura protecția drepturilor și libertăților fundamentale ale persoanei fizice în cazul prelucrării datelor sale cu caracter personal, în special a dreptului la inviolabilitatea vieții intime, familiale și private.
Articolul 2. Domeniul de aplicare
(1) Prezenta lege reglementează raporturile juridice care decurg din prelucrarea datelor cu caracter personal prin mijloace total sau parțial automatizate, precum și din prelucrarea prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să fie introduse într-un astfel de sistem.
(2) Prezenta lege se aplică:
a) prelucrarea datelor cu caracter personal în cadrul activității operatorilor situați pe teritoriul Republicii Moldova;
b) prelucrarea datelor cu caracter personal de către reprezentanțele diplomatice și oficiile consulare ale Republicii Moldova, precum și de către alți operatori aflați în afara teritoriului țării, dar pe teritoriul unde, în baza dreptului internațional public, se aplică legislația internă a Republicii Moldova;
c) prelucrarea datelor cu caracter personal de către operatorii situați în afara teritoriului Republicii Moldova, utilizând mijloace situate pe teritoriul Republicii Moldova, cu excepția cazului în care aceste mijloace sunt utilizate în scopul transmiterii în tranzit prin teritoriul Republicii Moldova a datelor cu caracter personal care fac obiectul prelucrării respective;
d) prelucrarea datelor cu caracter personal efectuată în cadrul acțiunilor de prevenire și investigare a infracțiunilor, de executare a condamnărilor și a altor acțiuni în conformitate cu legea în cadrul procedurilor penale și infracționale.
(3) Dispozițiile prezentei legi se aplică persoanei împuternicite de operator fără a exclude dreptul de a introduce o acțiune în justiție împotriva operatorului.
(4) Prezentul act nu se aplică în cazul:
a) prelucrarea datelor cu caracter personal de către operator exclusiv pentru nevoi personale sau familiale, în cazul în care drepturile persoanelor vizate nu sunt încălcate;
b) prelucrarea datelor cu caracter personal care sunt clasificate în mod corespunzător ca informații secrete de stat, cu excepția celor prevăzute la partea (2) litera (d);
c) prelucrarea și transferul transfrontalier de date cu caracter personal referitoare la autorii sau victimele genocidului, crimelor de război și crimelor împotriva umanității.
Articolul 3. Concepte de bază
Termenii și expresiile utilizate în prezenta lege au următorul înțeles:
date cu caracter personal – orice informații referitoare la o persoană fizică identificată sau identificabilă (persoana vizată). O persoană fizică identificabilă este o persoană care poate fi identificată direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;
categorii speciale de date cu caracter personal – date care dezvăluie originea rasială sau etnică a unei persoane, opiniile politice, convingerile religioase sau filosofice, apartenența socială, date referitoare la sănătate sau la viața sexuală, precum și date referitoare la sancțiuni penale, măsuri procedurale obligatorii sau sancțiuni pentru infracțiuni;
prelucrarea datelor cu caracter personal – orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, prin mijloace automatizate sau nu, cum ar fi colectarea, înregistrarea, organizarea, stocarea, recuperarea, recuperarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminare sau alt acces, gruparea sau combinarea, blocarea, ștergerea sau distrugerea;
sistem de arhivare a datelor cu caracter personal – orice set structurat de date cu caracter personal care sunt accesibile în funcție de anumite criterii, centralizate, descentralizate sau distribuite pe o bază funcțională sau geografică;
operator – persoană fizică sau juridică de drept public sau privat, inclusiv o autoritate publică, orice altă instituție sau organizație care, singură sau împreună cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal prevăzute în mod expres de legislația în vigoare;
persoană împuternicită de operator – o persoană fizică sau juridică de drept public sau privat, inclusiv o autoritate publică și subdiviziunile sale teritoriale, care, în numele sau în interesul operatorului, prelucrează date cu caracter personal la instrucțiunile operatorului;
terț – persoană fizică sau juridică de drept public sau privat, alta decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care sunt autorizate să prelucreze date cu caracter personal cu autorizarea expresă a operatorului sau a persoanei împuternicite de operator;
beneficiar – orice persoană fizică sau juridică de drept public sau privat, inclusiv autoritatea publică și subdiviziunile sale teritoriale, căreia îi sunt transmise date cu caracter personal, indiferent dacă este sau nu un terț. Autoritățile de apărare națională, de securitate a statului și de ordine publică, autoritățile de urmărire penală și autoritățile judiciare cărora li se comunică date cu caracter personal în exercitarea competențelor legale nu sunt considerate destinatari;
consimțământul persoanei vizate – orice manifestare de voință, liberă, specifică și necondiționată, dată în scris sau în formă electronică – sub rezerva cerințelor privind documentele electronice -, prin care persoana vizată este de acord cu prelucrarea datelor cu caracter personal care o privesc;
depersonalizarea datelor cu caracter personal – modificarea datelor cu caracter personal în așa fel încât detaliile situației personale sau materiale să nu mai permită identificarea datelor cu caracter personal cu o persoană identificată sau identificabilă sau să permită acest lucru numai printr-o investigație care necesită cheltuieli disproporționate de timp, bani și muncă.
Articolul 4. Caracterizarea datelor cu caracter personal
(1) Datele cu caracter personal care fac obiectul prelucrării trebuie:
(a) Gestionate corect și în conformitate cu dispozițiile legale;
b) să fie colectate în scopuri declarate, explicite și legitime și să nu fie prelucrate ulterior în niciun mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor cu caracter personal în scopuri statistice sau în scopuri de cercetare istorică sau științifică nu este incompatibilă cu scopul colectării, cu condiția ca aceasta să fie efectuată în conformitate cu dispozițiile prezentei legi, inclusiv cele referitoare la notificarea Centrului Național pentru Protecția Datelor cu Caracter Personal, precum și în conformitate cu garanțiile privind prelucrarea datelor cu caracter personal prevăzute de normele care reglementează activitatea statistică, cercetarea istorică și științifică;
(c) să fie adecvate, relevante și neexcesive în raport cu scopurile pentru care sunt colectate și/sau prelucrate ulterior;
(d) să fie exacte și, dacă este necesar, actualizate. Datele inexacte sau incomplete, în raport cu scopurile pentru care au fost colectate sau pentru care sunt prelucrate ulterior, ar trebui să fie șterse sau corectate;
e) stocate într-o formă care permite identificarea persoanelor vizate de datele cu caracter personal pentru o perioadă nu mai lungă decât cea necesară pentru scopurile în care datele au fost colectate și prelucrate ulterior. Stocarea datelor cu caracter personal pentru perioade mai lungi de timp în scopuri statistice sau în scopuri de cercetare istorică sau științifică se efectuează în conformitate cu garanțiile pentru prelucrarea datelor cu caracter personal prevăzute de normele care reglementează aceste domenii și numai pentru perioada necesară îndeplinirii acestor scopuri.
(2) Este de datoria controlorului să respecte și să pună în aplicare dispozițiile din partea (1).
Articolul 5. Prelucrarea datelor cu caracter personal
(1) Prelucrarea datelor cu caracter personal se efectuează cu consimțământul persoanei vizate.
(2) Consimțământul pentru prelucrarea datelor cu caracter personal poate fi retras în orice moment de către persoana vizată. Retragerea consimțământului nu poate avea efect retroactiv.
(3) În caz de incapacitate sau capacitate juridică limitată a persoanei vizate, consimțământul pentru prelucrarea datelor cu caracter personal este dat în scris de către reprezentantul său legal.
(4) În caz de deces al persoanei vizate, consimțământul pentru prelucrarea datelor cu caracter personal este dat în scris de către moștenitorii acesteia, dacă un astfel de consimțământ nu a fost dat de persoana vizată în timpul vieții sale.
(5) Consimțământul persoanei vizate nu este necesar în cazul în care prelucrarea datelor cu caracter personal este necesară:
a) pentru executarea unui contract la care persoana vizată este parte sau pentru luarea de măsuri prealabile încheierii contractului la cererea acesteia;
(b) pentru a îndeplini obligația legală a operatorului;
c) pentru a proteja viața, integritatea fizică sau sănătatea persoanei vizate;
d) pentru îndeplinirea sarcinilor de importanță publică sau care decurg din competențele autorității publice încredințate operatorului sau terțului căruia i-au fost divulgate datele cu caracter personal;
e) pentru a proteja interesele legitime ale operatorului sau ale unei părți terțe căreia i-au fost divulgate datele cu caracter personal, cu excepția cazului în care interesele sau drepturile și libertățile fundamentale ale persoanei vizate prevalează asupra acestor interese;
f) în scopuri statistice sau în scopuri de cercetare istorică sau științifică, cu condiția ca datele cu caracter personal să rămână anonime pe întreaga perioadă de prelucrare.
Articolul 6. Prelucrarea categoriilor speciale de date cu caracter personal
1) Prelucrarea categoriilor speciale de date cu caracter personal este interzisă, cu excepția cazului în care:
a) persoana vizată și-a dat consimțământul. În caz de incapacitate sau capacitate juridică limitată a persoanei vizate, prelucrarea categoriilor speciale de date cu caracter personal se efectuează numai cu consimțământul scris al reprezentantului său legal;
b) prelucrarea este necesară în scopul îndeplinirii obligațiilor sau drepturilor speciale ale operatorului în domeniul dreptului muncii, cu condiția ca aceasta să fie efectuată în conformitate cu garanțiile prevăzute de lege și ținând seama de faptul că orice divulgare către terți a datelor cu caracter personal prelucrate în aceste scopuri poate fi efectuată numai dacă operatorul are o obligație legală în acest sens;
c) prelucrarea este necesară pentru a proteja viața, integritatea fizică sau sănătatea persoanei vizate sau a unei alte persoane în cazul în care persoana vizată este fizic sau juridic incapabilă să își dea consimțământul;
d) prelucrarea este efectuată în cadrul unor activități legale de către asociații publice, partide și alte organizații sociopolitice, sindicate, asociații patronale, organizații filosofice sau religioase, organizații cooperative non-profit, cu condiția ca prelucrarea să se refere exclusiv la membrii acestora sau la persoanele care sunt în contact regulat cu acestea în legătură cu scopurile lor și ca datele să nu fie divulgate terților fără consimțământul persoanei vizate;
e) prelucrarea se referă la date puse la dispoziția publicului în mod voluntar și explicit de către persoana vizată;
f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept al persoanei vizate în fața unei instanțe;
g) prelucrarea este necesară în scopul siguranței statului, cu condiția ca aceasta să fie efectuată cu respectarea drepturilor persoanei vizate și a altor garanții prevăzute de prezenta lege.
(2) Din motive justificate, Centrul Național pentru Protecția Datelor cu Caracter Personal poate dispune interzicerea prelucrării unor categorii speciale de date cu caracter personal, chiar dacă consimțământul persoanei vizate nu este retras, cu condiția ca interdicția să nu fie eliminată de unul dintre cazurile prevăzute la alineatul (1) literele b) – g).
Articolul 7. Prelucrarea datelor cu caracter personal referitoare la starea de sănătate
(1) Prin derogare de la dispozițiile articolului 6, prelucrarea datelor cu caracter personal privind starea de sănătate este autorizată dacă:
a) prelucrarea este necesară în scopul medicinei preventive, al stabilirii unui diagnostic medical, al acordării de asistență medicală sau tratament persoanei vizate sau al gestionării serviciilor de sănătate care acționează în interesul persoanei vizate;
(b) prelucrarea este necesară pentru protecția sănătății publice.
(2) Cadrele medicale, instituțiile medico-sanitare și personalul medical al acestora pot prelucra date cu caracter personal privind starea de sănătate fără autorizarea Centrului Național pentru Protecția Datelor cu Caracter Personal, numai dacă prelucrarea este necesară pentru a proteja viața, integritatea fizică sau sănătatea persoanei vizate. În cazul în care aceste scopuri privesc alte persoane sau societatea în general, iar persoana vizată nu a dat un consimțământ scris neechivoc, autorizarea Centrului trebuie obținută în conformitate cu procedura prevăzută de lege
(3) Datele cu caracter personal referitoare la o afecțiune pot fi prelucrate în scopurile definite la alineatul (1) de către sau sub supravegherea unui profesionist din domeniul sănătății care are obligația de a păstra secretul profesional sau de către sau sub supravegherea unei alte persoane sau sub supravegherea unei alte persoane cu obligații echivalente de păstrare a secretului profesional.
(4) Datele cu caracter personal referitoare la o afecțiune sunt colectate de la persoana vizată sau atunci când este necesar să se facă acest lucru în conformitate cu alineatul (1).
(1) Prelucrarea datelor cu caracter personal privind pedepsele penale, măsurile procedurale obligatorii sau sancțiunile pentru infracțiuni poate fi efectuată numai de autoritățile publice sau sub controlul acestora, în limitele competențelor acordate și în conformitate cu condițiile stabilite de legile care reglementează aceste domenii.
(2) Registrul de informații criminalistice și criminologice este ținut de Ministerul Afacerilor Interne.
Articolul 9. Prelucrarea datelor cu caracter personal și libertatea de exprimare
Prelucrarea numărului de identificare de stat (IDNP) al persoanei fizice, a amprentelor digitale sau a altor date cu caracter personal avînd o funcţie de identificare de aplicabilitate generală poate fi efectuată în următoarele condiţii:
a) subiectul datelor cu caracter personal și-a dat consimțământul;
b) prelucrarea este prevăzută împreună prin legislație.
Articolul 10. Prelucrarea datelor cu caracter personal și libertatea de exprimare
Dispozițiile articolelor 5, 6 și 8 nu se aplică în cazurile de prelucrare a datelor cu caracter personal, efectuate exclusiv în scopuri jurnalistice sau în scopuri de creație artistică ori literară, dacă prelucrarea se referă la datele făcute publice în mod voluntar și explicit de către subiectul datelor cu caracter personal sau strâns legate de statutul unei figuri publice a subiectului datelor cu caracter personal sau de caracterul public al acțiunilor în care este implicat, conform Legii privind libertatea de exprimare.
Articolul 11. Stocarea și utilizarea datelor cu caracter personal după finalizarea operațiunilor de prelucrare
(1) Condiţiile şi termenele de stocare a datelor cu caracter personal se stabilesc de legislaţie ţinîndu-se cont de prevederile art. 4 alin. (1) lit. e). La expirarea termenului de stocare, datele cu caracter personal urmează a fi distruse în modul stabilit de lege.
(2) Datele cu caracter personal din registrele de stat, de la data încetării utilizării acestora, pot rămîne la păstrare primind statutul de document de arhivă.
(3) La încheierea operaţiunilor de prelucrare a datelor cu caracter personal, dacă subiectul acestor date nu şi-a dat consimţămîntul pentru o altă destinaţie sau pentru o prelucrare ulterioară, acestea vor fi:
a) distruse;
b) transmise altui operator, cu condiția ca operatorul inițial să garanteze că prelucrarea ulterioară are scopuri similare celor pentru care a fost efectuată prelucrarea inițială;
c) transformate în date anonime și să fie stocate exclusiv în scopuri statistice sau în scopuri de cercetări istorice sau științifice.
(4) După decesul subiectului datelor cu caracter personal, datele acestuia se pot utiliza, cu consimţămîntul succesorilor, în scop de arhivă sau în alte scopuri prevăzute de lege.
Articolul 12. Informarea subiectului datelor cu caracter personal
(1) În cazul în care datele cu caracter personal sînt colectate direct de la subiectul datelor, operatorul sau persoana împuternicită de către operator este obligată să-i furnizeze următoarele informaţii, exceptînd cazul în care acesta deţine deja informațiile respective:
1) identitatea operatorului sau, dacă există, a procesatorului;
2) scopul prelucrării datelor colectate;
3) informații suplimentare, cum ar fi:
a) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
b) existența drepturilor de acces, intervenții referitoare la date și obiecții, precum și condițiile de exercitare a acestor drepturi;
c) dacă răspunsurile la întrebările prin care se colectează date sunt obligatorii sau voluntare, precum și consecințele posibile ale refuzului de a răspunde.
(2) În cazul în care datele cu caracter personal nu sînt colectate direct de la subiectul datelor, operatorul sau persoana împuternicită de către operator este obligată ca, în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai tîrziu în momentul primei dezvăluiri, să furnizeze subiectului datelor cu caracter personal informaţia privind categoriile de date care urmează a fi colectate sau dezvăluite, precum şi informaţiile indicate la alin. (1), cu excepţia pct. 3) lit. c).
(3) Prevederile alin. (2) nu se aplică în cazul în care:
a) subiectul datelor cu caracter personal dispune de informațiile corespunzătoare;
b) prelucrarea datelor cu caracter personal se efectuează în scopuri statistice sau în scopuri de cercetări istorice sau științifice;
c) furnizarea informațiilor devine imposibilă sau necesită eforturi disproporționate în comparație cu interesul legitim care ar putea fi afectat;
d) documentarea sau divulgarea datelor cu caracter personal este prevăzută explicit de legislație.
Articolul 13. Dreptul de acces la datele cu caracter personal
(1) Orice subiect al datelor cu caracter personal are dreptul să obţină de la operator, la cerere, fără întîrziere şi în mod gratuit:
a) confirmarea dacă datele care îl privesc au fost sau nu prelucrate, precum și informații despre scopurile prelucrării, categoriile de date utilizate, destinatarii sau categoriile de destinatari cărora le sunt divulgate datele;
b) comunicarea datelor cu caracter personal care fac obiectul prelucrării, precum și orice informații disponibile cu privire la originea acestora, într-o formă accesibilă și într-o ordine care nu necesită echipamente suplimentare pentru a fi înțeleasă;
c) informații despre principiile de funcționare a mecanismului utilizat în orice prelucrare automatizată a datelor care se referă la subiectul datelor cu caracter personal;
d) informații despre consecințele juridice pentru subiectul datelor cu caracter personal care rezultă din prelucrarea datelor;
e) informații despre procedura de exercitare a dreptului de intervenție în ceea ce privește datele cu caracter personal.
(2) În cazul în care datele cu caracter personal privind starea de sănătate sînt prelucrate în scop de cercetare ştiinţifică, dacă nu există riscul de a se aduce atingere drepturilor subiectului datelor cu caracter personal şi dacă datele nu sînt utilizate pentru a lua decizii sau măsuri faţă de o anumită persoană, comunicarea informaţiilor prevăzute la alin. (1) se poate face într-un termen mai mare decît cel stabilit de Legea privind accesul la informaţie, în măsura în care aceasta ar putea afecta cercetarea sau rezultatul acesteia, dar nu mai tîrziu de momentul în care cercetarea este încheiată. Subiectul datelor cu caracter personal trebuie să îşi dea consimţămîntul ca datele privind starea de sănătate să fie prelucrate în scop de cercetare ştiinţifică, precum şi asupra posibilei amînări din acest motiv a comunicării informaţiilor prevăzute la alin. (1).
Articolul 14. Dreptul de intervenție în ceea ce privește datele cu caracter personal
Orice subiect de date cu caracter personal are dreptul să primească de la operator sau procesator, la cerere și gratuit:
a) corectarea, actualizarea, blocarea sau ștergerea datelor personale, procesarea cărora contravine prezentei legi, în special în legătură cu caracterul incomplet sau inexact al datelor;
b) notificarea părților terțe, cărora li se dezvăluiesc datele personale, despre operațiunile efectuate conform punctului a), cu excepția cazurilor în care o astfel de notificare devine imposibilă sau necesită eforturi disproporționate în comparație cu interesul legitim care poate fi afectat.
Articolul 15. Excepții și restricții
(1) Prevederile art. 4 alin. (1), art. 12 alin. (1) şi (2), art.13, 14 şi 28 nu se aplică în cazul în care prelucrarea datelor cu caracter personal este efectuată în cadrul acţiunilor prevăzute la art. 2 alin. (2) lit. d), în scopul apărării naţionale, al securităţii statului şi menţinerii ordinii publice, al protecţiei drepturilor şi libertăţilor subiectului datelor cu caracter personal sau ale altor persoane, dacă prin aplicarea acestora este prejudiciată eficienţa acţiunii sau obiectivul urmărit în exercitarea competențelor legale ale autorităţii publice.
(2) Prelucrarea datelor cu caracter personal în scopurile stabilite la alin. (1) nu poate depăşi perioada necesară atingerii obiectivului urmărit.
(3) După încetarea situaţiei care justifică aplicarea alin. (1) şi (2) din prezentul articol, operatorii vor lua măsurile necesare pentru a asigura respectarea drepturilor subiecţilor datelor cu caracter personal prevăzute la art. 12–14.
(4) Autorităţile publice ţin evidenţa aplicării excepţiilor stabilite la alin. (1) şi informează Centrul Naţional pentru Protecţia Datelor cu Caracter Personal, în termen de 10 zile, despre datele cu caracter personal prelucrate în condiţiile prezentului articol.
Articolul 16. Dreptul subiectului datelor personale de a se opune
(1) Subiectul datelor cu caracter personal are dreptul de a se opune în orice moment, în mod gratuit, din motive întemeiate şi legitime legate de situaţia sa particulară, ca datele cu caracter personal care îl vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care legea stabileşte altfel. Dacă opoziţia este justificată, prelucrarea efectuată de operator nu mai poate viza aceste date.
(2) Subiectul datelor cu caracter personal are dreptul de a se opune în orice moment, în mod gratuit şi fără nici o justificare, ca datele care îl vizează să fie prelucrate pentru prospectare comercială. Operatorul sau persoana împuternicită de către operator este obligată să informeze subiectul despre dreptul de a se opune unei astfel de lucrări înaintea dezvăluirii către terţi a datelor sale cu caracter personal.
Articolul 17. Dreptul de a nu fi supus unei decizii private
(1) Orice persoană are dreptul de a cere anularea, în totalitate sau parțială, a oricărei decizii individuale care produce efecte juridice asupra drepturilor şi libertăţilor sale, fiind întemeiată exclusiv pe prelucrarea automatizată a datelor cu caracter personal destinată să evalueze unele aspecte ale personalităţii sale, precum competenţa profesională, credibilitatea, comportamentul și altele asemenea.
(2) Persoana poate fi supusă deciziei prevăzute la alin. (1) în cazul în care:
a) decizia este autorizată prin lege, care stabilește măsuri pentru protejarea intereselor legale ale subiectului datelor cu caracter personal;
b) decizia a fost luată în timpul încheierii sau executării contractului, cu condiția ca solicitarea subiectului datelor personale pentru încheierea sau executarea contractului să fi fost satisfăcută.
Articolul 18 Acces la justiție
Orice persoană care a suferit daune ca urmare a prelucrării ilegale a datelor personale sau a cărei drepturi și interese garantate de prezenta lege au fost încălcate, are dreptul de a se adresa instanței cu cererea de compensare pentru prejudiciul material și moral.
Capitolul III
Articolul 19. Organul de control al prelucrărilor de date cu caracter personal
(1) Controlul asupra conformității prelucrării datelor cu caracter personal cu cerinţele prezentei legi se efectuează de către Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (în continuare – Centru), care acţionează în condiţii de imparţialitate şi independenţă.
(2) Centrul este persoană juridică, dispune de ştampilă şi de antet cu imaginea Stemei de Stat a Republicii Moldova. Sediul permanent al Centrului se află în municipiul Chişinău.
(3) Regulamentul Centrului, structura şi personalul-limită ale acestuia se aprobă de Parlament.
(4) Bugetul Centrului se aprobă printr-o hotărîre a Parlamentului, după examinarea şi avizarea lui pozitivă în comisia parlamentară de profil.
(5) Parlamentul remite Guvernului bugetul aprobat al Centrului pentru a fi inclus în proiectul legii bugetului de stat pentru anul următor.
Articolul 20. Funcțiile și drepturile Centrului
(1) Centrul are următoarele atribuţii:
a) monitorizează respectarea legislației privind protecția informațiilor și controlează aplicarea acesteia, în special în ceea ce privește dreptul la informare, acces, intervenție sau obiecție referitoare la datele cu caracter personal;
b) autorizează prelucrarea datelor cu caracter personal în cazurile prevăzute de lege;
c) fără a aduce atingere competenței altor autorități, oferă indicațiile necesare pentru a aduce prelucrarea datelor cu caracter personal în conformitate cu dispozițiile prezentei legi;
d) oferă subiecților datelor cu caracter personal informații despre drepturile lor;
e) dispune suspendarea sau încetarea prelucrării datelor cu caracter personal efectuate cu încălcarea dispozițiilor prezentei legi;
f) ţine registrul de evidenţă al operatorilor de date cu caracter personal, ale cărui formă şi conţinut se aprobă de Guvern; registrul este public, cu excepţia informaţiei prevăzute la art. 23 alin. (2) lit. l);
g) emite ordine în domeniul protecției datelor cu caracter personal, eliberează formulare standard de notificare, precum și propriile registre;
h) primește și examinează notificările privind prelucrarea datelor cu caracter personal;
i) efectuează verificări ale legalității prelucrării datelor cu caracter personal în conformitate cu reglementările elaborate și aprobate de el;
j) face propuneri pentru îmbunătățirea legislației în vigoare în domeniul protecției și prelucrării datelor cu caracter personal;
k) colaborează cu autoritățile publice, mass-media, asociațiile publice, precum și cu instituții similare din străinătate;
l) colectează și analizează rapoartele anuale privind activitatea autorităților publice în domeniul protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal;
m) informează organele de aplicare a legii în cazul în care există indicii de infracțiune legată de încălcarea drepturilor subiecților datelor cu caracter personal;
n) în conformitate cu Codul Republicii Moldova privind contravențiile constată contravențiile și întocmește procese verbale;
o) informează autoritățile publice despre situația din domeniul protecției drepturilor subiecților datelor cu caracter personal, precum și răspunde la cererile și solicitările subiecților datelor cu caracter personal;
p) verifică respectarea cerințelor aprobate de Guvern pentru asigurarea securității datelor cu caracter personal în timpul prelucrării în sistemele informaționale ale datelor cu caracter personal;
q) informează periodic instituțiile și societatea despre activitatea sa, despre principalele probleme și dificultăți în domeniul protecției drepturilor persoanei;
r) oferă asistență și îndeplinește solicitările de ajutor în aplicarea Convenției privind protecția cetățenilor în legătură cu prelucrarea automatisată a datelor cu caracter personal;
s) îndeplinește și alte funcții stabilite de lege.
(2) Centrul are următoarele drepturi:
a) a solicita și a primi gratuit de la persoane fizice și juridice de drept public sau privat informațiile necesare pentru îndeplinirea funcțiilor acestora;
b) a primi de la controlori suport și informații necesare pentru exercitarea funcțiilor sale;
c) a implica în procesul de verificare preliminară și verificarea legalității prelucrării datelor personale specialiști și experți în domenii care necesită cunoștințe specializate, încheind cu aceștia un acord de confidențialitate;
d) a solicita de la controlori corectarea, blocarea sau distrugerea datelor personale inexacte sau obținute ilegal.
(3) Operatorii, indiferent de forma lor juridică de organizare, prezintă Centrului materialele şi documentele solicitate cu privire la protecţia datelor cu caracter personal în termen de 15 zile, dacă în solicitare nu se prevede un alt termen.
Articolul 21. Organizarea activităţii Centrului
(1) În cadrul activităţii sale, Centrul asigură confidenţialitatea datelor cu caracter personal care i-au devenit cunoscute.
(2) În scopul colectării informaţiilor necesare îndeplinirii atribuţiilor de control, personalul Centrului are dreptul de acces în încăperile şi pe teritoriul în care sînt amplasate sisteme de evidenţă a datelor cu caracter personal, la datele cu caracter personal prelucrate de operatori şi/sau persoanele împuternicite de către aceștia, la echipamentul de prelucrare, programe şi aplicaţii, precum și la orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal, în condiţiile legii.
(3) Anual, pînă la data de 15 martie, Centrul prezintă Parlamentului, Preşedintelui Republicii Moldova şi Guvernului raportul de activitate pe anul precedent, care se publică gratuit în Monitorul Oficial al Republicii Moldova şi pe pagina web a Centrului.
Articolul 22. Conducerea Centrului
(1) Centrul este condus de un director, numit în funcţie de Parlament la propunerea Preşedintelui Parlamentului, a unei fracţiuni parlamentare sau a unui grup de cel puţin 15 deputaţi, cu votul majorităţii deputaţilor aleşi, pentru un mandat de 5 ani. Persoana numită poate ocupa funcţia de director nu mai mult de două mandate consecutive.
(2) Directorul efectuează conducerea generală a Centrului, angajează şi eliberează personalul Centrului în condiţiile Legii cu privire la funcţia publică şi statutul funcţionarului public, stabileşte obligaţiile de serviciu ale acestuia, organizează pregătirea rapoartelor anuale şi le prezintă în plenul Parlamentului, reprezintă instituţia în ţară şi peste hotare.
(3) În exercitarea atribuţiilor sale, directorul este asistat de un adjunct, numit în funcţie de Parlament la propunerea directorului Centrului, cu votul majorităţii deputaţilor aleşi, pentru un mandat de 5 ani. În absenţa directorului Centrului, directorul adjunct îndeplineşte temporar atribuţiile acestuia.
(4) În funcţia de director sau director adjunct al Centrului poate fi numită orice persoană care deţine cetăţenia Republicii Moldova, are studii superioare juridice și experienţă profesională de cel puţin 5 ani în domeniul apărării drepturilor şi a libertăţilor omului.
(5) Funcţia de director şi cea de director adjunct al Centrului sînt funcţii de demnitate publică, a căror salarizare se face în conformitate cu Legea cu privire la sistemul de salarizare în sectorul bugetar.
(6) Pe perioada exercitării mandatului, directorul şi directorul adjunct al Centrului nu pot face parte din partide sau alte organizații social-politice, nu pot desfășura alte activităţi publice sau private, cu excepţia activităţii didactico-ştiinţifice, nu au dreptul să deţină, direct sau indirect, valori mobiliare la societăţi comerciale sau întreprinderi al căror obiect de activitate se află în competenţa Centrului.
(7) Exercitarea mandatelor de director şi director adjunct încetează la expirarea termenului acestora, exceptînd cazurile de încetare a exercitării atribuţiilor înainte de termen. În cazul în care termenul de exercitare a mandatelor a expirat, directorul şi directorul adjunct al Centrului continuă să se afle în exerciţiul funcţiunii pînă la preluarea acestor funcţii de către succesorii lor.
(8) Mandatele de director şi director adjunct al Centrului încetează înainte de termen în caz de:
a) demisii;
b) incompatibilității cu alte funcții publice sau private;
c) revocării din funcție;
d) imposibilitatea exercitării atribuțiilor din cauza stării de sănătate, stabilite printr-un certificat medical corespunzător;
e) decesului.
(9) Propunerea de revocare din funcţie a directorului Centrului poate fi înaintată de Preşedintele Parlamentului, de o fracţiune parlamentară sau de un grup de cel puţin 15 deputaţi în următoarele cazuri:
a) încălcării grave a îndatoririlor de serviciu prevăzute de legislație;
b) soluției definitive de condamnare pentru comiterea unei infracțiuni.
(10) Propunerea de revocare din funcţie a directorului adjunct al Centrului poate fi înaintată de directorul Centrului, de o fracţiune parlamentară sau de un grup de cel puţin 15 deputaţi în cazurile prevăzute la alin. (9). Hotărîrea de revocare se adoptă cu votul majorităţii deputaţilor aleşi.
Articolul 23. Notificarea Centrului privind prelucrarea datelor personale
(1) Operatorii sînt obligaţi să notifice Centrul, personal sau prin persoanele împuternicite de către ei, înainte de a prelucra date cu caracter personal destinate să servească unui scop. Prelucrarea altor categorii de date cu caracter personal decît cele notificate anterior se va efectua cu condiţia unei noi notificări.
(2) Notificarea trebuie să conţină următoarele informaţii:
a) numele sau denumirea și reședința sau sediul controlorului și operatorului, dacă există;
b) scopul procesării;
c) descrierea subiecților datelor personale și a datelor procesate, precum și a surselor din care au fost obținute datele personale;
d) existența consimțământului subiectului datelor personale pentru procesarea datelor;
e) metoda de informare a subiecților datelor personale cu privire la drepturile lor, data preconizată de finalizare a operațiunilor de procesare, precum și utilizarea ulterioară a datelor personale;
f) destinatarii cărora le pot fi divulgate datele personale;
g) garanții la transferul de date personale către terțe părți;
h) propunerile preconizate privind transferul transfrontalier al datelor personale;
i) persoanele responsabile pentru procesarea datelor personale;
j) specificarea sistemelor de înregistrare a datelor personale care au legătură cu procesarea, precum și posibilele legături cu alte procesări de date sau cu alte sisteme de înregistrare a datelor personale, indiferent dacă sunt realizate și, respectiv, dacă se află pe teritoriul Republicii Moldova;
k) motivele care justifică aplicarea prevederilor art. 10 şi art. 12 alin. (3), în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, artistice sau literare ori în scopuri statistice, de cercetare istorică sau ştiinţifică;
l) descrierea generală a măsurilor luate pentru asigurarea securității procesării datelor personale conform articolului 30.
(3) În cazul în care datele cu caracter personal care sînt prelucrate urmează să fie transferate către alte state, notificarea va cuprinde suplimentar:
a) categoriile de date care urmează a fi transferate;
b) statul de destinație pentru fiecare categorie de date.
(4) Autorităţile publice care efectuează prelucrări de date cu caracter personal în legătură cu activităţile indicate la art. 2 alin. (2) lit. d), pentru exercitarea atribuţiilor legale ce ţin de sfera lor de competenţă sau pentru îndeplinirea obligaţiilor asumate prin acorduri internaţionale la care Republica Moldova este parte, sînt obligate să depună o declaraţie de informare care va conţine:
a) denumirea și locația operatorului sau, în funcție de situație, a procesatorului;
b) scopurile și temeiurile legale ale procesării;
c) categoriile de date personale care sunt supuse procesării.
(5) Notificarea nu este necesară în cazul în care prelucrarea are ca scop ţinerea unui registru destinat informării publicului larg și deschis spre consultare publicului sau oricărei persoane care probează un interes legitim, cu condiţia ca prelucrarea să se limiteze la datele necesare ţinerii registrului menţionat.
(6) Centrul poate stabili şi alte situaţii în care notificarea nu este necesară sau situaţii în care notificarea se poate efectua într-o formă simplificată, numai dacă:
1) procesarea, având în vedere natura datelor personale, nu afectează drepturile subiecților datelor personale, cu condiția precizării:
a) scopul pentru care se realizează procesarea;
b) datele supuse procesării;
c) categoriile subiecților datelor personale;
d) destinatarii cărora le sunt transmise datele personale;
e) durata stocării datelor personale;
2) prelucrarea se efectuează în condiţiile art. 6 alin. (1) lit. d).
(7) În cazul prelucrărilor datelor cu caracter personal nesupuse notificării, operatorul sau persoana împuternicită de către acesta prezintă, la cerere, subiectului datelor cu caracter personal informaţiile prevăzute la alin. (2) lit. a)–k), cu excepţia situaţiei prevăzute la alin. (5).
(8) La notificarea primară, fiecare operator primeşte un număr de înregistrare care se indică pe toate actele prin care datele cu caracter personal sînt colectate, stocate sau transmise.
Articolul 24. Verificarea preliminară
(1) Dacă pe baza notificării Centrul constată că prelucrarea se încadrează în una din categoriile menţionate la alin. (2), va dispune obligatoriu efectuarea unei verificări prealabile și va anunţa operatorul sau persoana împuternicită de către acesta în termen de 5 zile de la data depunerii notificării.
(2) Sînt supuse verificării prealabile categoriile de operaţiuni de prelucrare a datelor cu caracter personal care fac obiectul transmiterii transfrontaliere, precum şi categoriile de operaţiuni de prelucrare a datelor cu caracter personal care prezintă riscuri speciale pentru drepturile şi libertăţile persoanelor, după cum urmează:
a) operațiuni de prelucrare a unor categorii speciale de date personale, precum și date genetice și biometrice și date care permit determinarea locației geografice a persoanelor, inclusiv în scopuri de cercetare științifică;
b) operațiuni de prelucrare a datelor personale prin mijloace electronice, destinat evaluării unor aspecte personale, cum ar fi competența profesională, fiabilitatea, comportamentul etc.;
c) operațiuni de prelucrare a datelor personale prin mijloace electronice în sisteme de contabilitate, destinată luării unor decizii automatizate private referitoare la analiza creditului, situația financiar-economică, acțiuni care pot atrage răspunderea disciplinară, contravențională sau penală a persoanelor fizice, efectuate de persoane de drept privat;
d) operațiuni de prelucrare a datelor personale ale minorilor în scopuri de marketing direct;
e) operațiuni de prelucrare a datelor personale menționate la punctul a) și a datelor personale ale minorilor, colectate prin intermediul Internetului sau al poștei electronice.
(3) Verificarea prealabilă se efectuează pe baza informaţiilor prezentate în notificare de operator sau persoana împuternicită de către acesta. Centrul poate solicita şi alte informaţii privind originea datelor cu caracter personal, tehnologia de prelucrare automatizată utilizată, măsurile de securitate a prelucrării datelor cu caracter personal.
(4) Durata verificării prealabile nu poate depăşi 45 de zile. În caz de necesitate, ţinînd cont de complexitatea operaţiunilor de prelucrare a datelor cu caracter personal, Centrul poate prelungi termenul de verificare prealabilă cu încă 45 de zile, fapt despre care este informat operatorul sau persoana împuternicită de către acesta.
Articolul 25. Autorizarea operațiunilor de prelucrare a datelor personale
(1) În termen de 7 zile de la data finalizării verificării prealabile, Centrul emite decizia privind autorizarea sau refuzul autorizării operaţiunilor prevăzute la art. 24 alin. (2).
(2) Conţinutul şi forma autorizaţiei se aprobă de Centru. Prelucrarea datelor cu caracter personal fără autorizaţie sau în afara limitelor prevăzute de aceasta este interzisă.
(3) Decizia privind refuzul de a autoriza prelucrarea datelor cu caracter personal trebuie să conţină motivele ce justifică refuzul şi, după caz, modalitatea de înlăturare a circumstanţelor ce împiedică prelucrarea datelor respective. Decizia privind refuzul de a autoriza prelucrarea datelor cu caracter personal poate fi contestată în instanţa de contencios administrativ.
(4) Refuzul de a autoriza prelucrarea datelor cu caracter personal nu exclude posibilitatea operatorului de a notifica în mod repetat Centrul după înlăturarea circumstanţelor care au împiedicat prelucrarea datelor respective.
Articolul 26 Controlul legalităţii prelucrării datelor cu caracter personal
(1) Controlul legalităţii prelucrării datelor cu caracter personal (în continuare – control) are drept scop verificarea corespunderii cu cerinţele şi a îndeplinirii condiţiilor prevăzute de prezenta lege de către operator sau persoana împuternicită de către acesta.
(2) Controlul este efectuat de către Centru în baza unui plan anual aprobat, care se publică pe pagina web a acestuia.
(3) Despre intenţia efectuării controlului, Centrul informează operatorul sau persoana împuternicită de către acesta cu 5 zile înainte de începerea acestuia, cu excepţia cazurilor prevăzute la art. 27 alin. (2) şi (4).
(4) În cazul în care, ca urmare a controlului efectuat, sînt constatate încălcări, Centrul emite decizia de suspendare a operaţiunilor de prelucrare a datelor cu caracter personal, care va conţine instrucţiuni pentru aducerea prelucrării datelor cu caracter personal în conformitate cu prevederile prezentei legi.
(5) Efectuarea operaţiunilor de prelucrare a datelor cu caracter personal se suspendă pînă la înlăturarea circumstanţelor care au servit drept temei pentru emiterea deciziei. Operatorul sau persoana împuternicită de către acesta este obligată să înlăture respectivele circumstanţe în termen de 30 de zile de la emiterea deciziei de suspendare.
(6) În cazul în care operatorul sau persoana împuternicită de către acesta nu a înlăturat circumstanţele care au servit drept temei pentru suspendare în termenul stabilit la alin. (5), Centrul emite decizia de încetare a operaţiunilor de prelucrare a datelor cu caracter personal, cu sau fără dispunerea blocării ori distrugerii datelor cu caracter personal neveridice sau obţinute ilicit.
(7) Decizia de suspendare sau de încetare a operaţiunilor de prelucrare a datelor cu caracter personal poate fi contestată în instanţa de contencios administrativ.
Articolul 27. Procedura primirii şi soluționării plîngerilor de către Centru
(1) Subiectul datelor cu caracter personal care consideră că prelucrarea datelor sale nu este conformă cu cerinţele prezentei legi poate înainta Centrului o plîngere în termen de 30 de zile din momentul depistării încălcării.
(2) În procesul soluţionării plîngerii, Centrul poate audia subiectul datelor cu caracter personal, operatorul şi, dacă este cazul, persoana împuternicită de către operator și martorii, de asemenea poate dispune efectuarea unui control inopinat.
(3) În urma examinării plîngerii, Centrul emite o decizie motivată care prevede fie lipsa încălcării prevederilor legislaţiei, fie suspendarea operaţiunilor de prelucrare a datelor cu caracter personal, fie rectificarea, blocarea sau distrugerea datelor neveridice ori obţinute ilicit. Decizia este comunicată părţilor interesate în termen de 30 de zile de la data primirii plîngerii.
(4) Prevederile alin. (2) şi (3) se aplică în mod corespunzător şi în situaţia în care Centrul se autosesizează cu privire la comiterea unei încălcări a drepturilor subiecţilor datelor cu caracter personal, recunoscute de prezenta lege.
(5) Operatorul, persoana împuternicită de către acesta sau subiectul datelor cu caracter personal pot contesta decizia Centrului în instanţa de contencios administrativ.
Articolul 28. Registrul de evidență al operatorilor de date personale
(1) În scopul evidenţei prelucrărilor de date cu caracter personal, Centrul instituie şi administrează un registru de evidenţă al operatorilor de date cu caracter personal care trebuie să cuprindă informaţiile stabilite la art. 23 alin. (2). Orice modificare a informaţiilor respective va fi comunicată Centrului în termen de 5 zile, care va efectua menţiunile corespunzătoare în registrul de evidenţă al operatorilor de date cu caracter personal.
(2) Registrul de evidenţă al operatorilor de date cu caracter personal este deschis spre consultare publicului, cu excepţia compartimentului care conţine informaţii privind măsurile de securitate şi de asigurare a confidenţialităţii. Modalitatea de consultare se stabileşte de Centru.
(3) Înregistrarea operatorilor, precum şi a modificărilor informaţiilor înscrise în registrul de evidenţă al operatorilor de date cu caracter personal, se efectuează gratuit.
Articolul 29. Confidențialitatea datelor personale
(1) Operatorii şi terţii care au acces la datele cu caracter personal sînt obligaţi să asigure confidenţialitatea acestor date, cu excepţia cazurilor:
a) prelucrarea care se referă la datele personale care au fost făcute disponibile publicului subiecților de date în mod voluntar și explicit;
b) datele cu caracter personal au fost depersonalizate.
(2) Orice persoană care acţionează în numele, pe seama sau în alt mod sub autoritatea operatorului poate prelucra date cu caracter personal doar pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii prevăzute de lege.
(3) Conducerea Centrului şi personalul acestuia sînt obligaţi să garanteze nedivulgarea secretului profesional în ceea ce priveşte informaţiile confidenţiale la care au acces, inclusiv după încetarea activităţii lor.
Articolul 30. Securitatea prelucrării datelor personale
(1) La prelucrarea datelor cu caracter personal, operatorul este obligat să ia măsurile organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal împotriva distrugerii, modificării, blocării, copierii, răspîndirii, precum şi împotriva altor acţiuni ilicite, măsuri menite să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor prelucrate.
(2) În cazul în care prelucrarea datelor cu caracter personal este efectuată pe seama şi în numele operatorului, acesta va împuternici o persoană care va asigura respectarea garanţiilor referitoare la măsurile adecvate de securitate tehnică şi de organizare privind prelucrarea ce urmează să fie efectuată.
(3) Prelucrarea datelor cu caracter personal prin persoana împuternicită de către operator trebuie reglementată printr-un contract sau un alt act juridic care să asigure în special faptul că:
a) operatorul va acționa doar la indicațiile controlorului;
b) obligaţiile prevăzute la alin. (1) îi revin şi persoanei împuternicite.
(4) Cerinţele față de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal se stabilesc de Guvern.
Articolul 31. Anonimizarea datelor personale
(1) În scopuri statistice, de cercetare istorică, ştiinţifică, sociologică, medicală, de documentare juridică, operatorul depersonalizează datele cu caracter personal prin retragerea din ele a părţii care permite identificarea persoanei fizice, transformîndu-le în date anonime, care nu pot fi asociate cu o persoană identificată sau identificabilă.
(2) În cazul depersonalizării, regimul de confidenţialitate stabilit pentru datele respective se anulează.
Capitolul VII
date personale
Articolul 32. Transferul transfrontalier al datelor personale
(1) Prezentul articol se aplică în cazul transmiterii către un alt stat, pe orice suport sau mijloc, a datelor cu caracter personal care constituie obiectul prelucrărilor sau care sînt colectate în scopul de a fi supuse prelucrării.
(2) Datele cu caracter personal destinate transmiterii către un alt stat sînt protejate în conformitate cu prezenta lege.
(3) Transmiterea transfrontalieră a datelor cu caracter personal care fac obiectul unei prelucrări sau care urmează să fie prelucrate după transmitere poate avea loc doar cu autorizarea Centrului, în modul stabilit de lege, şi doar în cazul în care statul de destinaţie asigură un nivel adecvat de protecţie a drepturilor subiecţilor datelor cu caracter personal şi a datelor destinate transmiterii.
(4) Nivelul de protecţie se stabileşte de Centru ţinîndu-se cont de condiţiile în care se realizează transmiterea datelor cu caracter personal, în special de natura acestora, de scopul şi durata prelucrării sau prelucrărilor propuse, de statul de destinaţie, de legislaţia acestuia, precum şi de normele profesionale şi măsurile de securitate respectate în statul de destinaţie.
(5) În cazul în care constată că nivelul de protecţie oferit de statul de destinaţie este nesatisfăcător, Centrul va dispune interzicerea transmiterii datelor.
(6) Centrul poate autoriza, în modul stabilit de lege, transferul de date cu caracter personal către un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legislaţia Republicii Moldova dacă operatorul oferă garanţii suficiente cu privire la protecţia şi exercitarea drepturilor subiecţilor datelor cu caracter personal, care sînt stabilite prin contracte încheiate între operatori şi persoanele fizice sau juridice prin dispoziţia cărora se efectuează transferul.
(7) Prevederile alin. (3)–(6) nu se aplică în cazul în care transferul datelor cu caracter personal se face în baza prevederilor unei legi speciale sau ale unui tratat internaţional ratificat de Republica Moldova, în special dacă transferul se face în scopul prevenirii sau investigării infracţiunilor. Legea specială sau tratatul internaţional trebuie să conţină garanţii privind protecţia drepturilor subiectului datelor cu caracter personal.
(8) Prevederile alin. (1)–(6) nu se aplică în cazul în care prelucrarea datelor cu caracter personal se face exclusiv în scopuri jurnalistice, artistice sau literare, dacă aceste date au fost făcute publice în mod voluntar şi manifest de către subiectul datelor cu caracter personal sau sînt strîns legate de calitatea de persoană publică a acestuia ori de caracterul public al faptelor în care acesta este implicat.
(9) Transmiterea datelor cu caracter personal către statele care nu asigură un nivel adecvat de protecţie poate avea loc numai:
a) existența consimțământului subiectului datelor personale;
b) necesitatea încheierii sau executării unui acord sau contract între subiectul datelor personale și controlor sau între controlor și o terță parte în interesul subiectului datelor personale;
c) dacă este necesar pentru protejarea vieții, integrității fizice sau sănătății subiectului datelor personale;
d) dacă transferul este efectuat dintr-un registru care este destinat informării publicului și care este deschis pentru examinare de către publicul larg sau de către orice persoană care manifestă un interes legitim, în măsura în care condițiile prevăzute de lege pentru examinare sunt îndeplinite în cazul specific;
e) dacă este necesar pentru a satisface un interes public important, cum ar fi apărarea națională, securitatea națională sau ordinea publică, pentru desfășurarea normală a procesului penal sau pentru stabilirea, exercitarea sau apărarea unui drept în instanță, cu condiția ca datele personale să fie prelucrate în legătură cu aceste scopuri și doar pe durata necesară pentru atingerea acestor scopuri.
Capitolul VIII
Articolul 33. Răspunderea pentru încălcarea prezentei legi
Persoanele vinovate de încălcarea prezentei legi poartă, conform legislației, răspundere civilă, contravențională sau penală.
Articolul 34
(1) Prezenta lege intră în vigoare după 6 luni de la data publicării.
(2) La data intrării în vigoare a prezentei legi, se abrogă Legea nr. 17-XVI din 15 februarie 2007 cu privire la protecţia datelor cu caracter personal (Monitorul Oficial al Republicii Moldova, 2007, nr. 107–111, art. 468), cu modificările și completările ulterioare.
(3) Guvernul, în termen de 6 luni:
a) să elaboreze și să prezinte Parlamentului propuneri pentru adaptarea legislației în vigoare la prezenta lege;
b) să-și adapteze actele normative la prezenta lege;
c) să asigure adaptarea actelor normative ale organelor de administrare publică centrală la prezenta lege.
(4) Operaţiunile de prelucrare a datelor cu caracter personal începute anterior intrării în vigoare a prezentei legi vor fi notificate Centrului în termen de 30 de zile de la data intrării ei în vigoare, în vederea înregistrării obligatorii.
PREŞEDINTELE PARLAMENTULUI