ÎNREGISTRAT:
Ministerul Justiţiei
al Republicii Moldova
____________ Oleg EFRIM
nr. 980 din 2 iunie 2014

În conformitate cu prevederile art. 20 alin.(1) lit. i) şi art. 26 din Legea nr.133 din 8 iulie 2011 privind protecţia datelor cu caracter personal,

ORDON:

    1. Se aprobă Regulamentul privind controlul legalităţii prelucrărilor de date cu caracter personal (se anexează).
    2. Direcţia juridică şi relaţii cu publicul va înregistra prezentul ordin în Registrul actelor normative ale Centrului Naţional pentru Protecţia Datelor cu Caracter Personal şi, în comun cu Direcţia evidenţă şi control, va asigura plasarea acestuia pe pagina web oficială a Centrului.
    3. Controlul executării prezentului ordin mi-l asum.

    DIRECTORUL CENTRULUI
    NAȚIONAL PENTRU PROTECȚIA
    DATELOR CU CARACTER PERSONAL                                   Vitalie PANIŞ

    Nr. 14. Chişinău, 12 mai 2014.

Aprobat
prin ordinul Directorului
Centrului Naţional pentru
Protecţia Datelor cu Caracter
Personal nr. 14
din 12 mai 2014

REGULAMENT
PRIVIND CONTROLUL LEGALITĂŢII PRELUCRĂRILOR
DE DATE CU CARACTER PERSONAL
I. Dispoziţii generale

1. Regulamentul privind controlul legalităţii prelucrărilor de date cu caracter personal (în continuare – Regulament) este elaborat cu scopul reglementării, sub aspect juridic şi instituţional, a activităţilor de control al legalităţii prelucrărilor de date cu caracter personal, efectuate de Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (în continuare – Centru), şi stabileşte scopul şi obiectul controlului, formele controalelor, procedura de pregătire şi exercitare a controlului, reguli specifice privind efectuarea verificării prealabile, modalitatea ţinerii Registrului controalelor.
2. Prevederile Regulamentului se aplică asupra raporturilor juridice ce apar în procesul controlului legalităţii prelucrărilor de date cu caracter personal efectuate de către entităţi care practică activitate de întreprinzător, entităţilor care nu se constituie în calitate de întreprinzători, inclusiv autorităţilor publice şi persoanelor fizice.

II. Noţiuni principale

    3. În sensul prezentului Regulament se definesc următoarele noţiuni:
    activitate de întreprinzător - activitate cu scop lucrativ (de producţie, executare a lucrărilor, prestare de servicii etc.) a persoanei fizice sau juridice, efectuată în nume propriu şi sub răspunderea ei patrimonială, cu scopul de a obţine în mod periodic în decursul unui interval de timp o sursă de venituri;
    controlul legalităţii prelucrărilor de date cu caracter personal – totalitatea acţiunilor de verificare a corespunderii operaţiunilor de prelucrare a datelor cu caracter personal cu cerinţele legale şi a îndeplinirii condiţiilor prevăzute de lege de către operatorul de date cu caracter personal sau persoana împuternicită de către acesta, realizate de Centru;
    controlor – persoana/ele împuternicită/e de Centru prin delegaţie de control să exercite în mod efectiv controlul asupra legalităţii operaţiunilor de prelucrare a datelor cu caracter personal;
    decizie de control – hotărîre adoptată de Centru, în limitele competenţelor, în care se indică entitatea asupra căreia va fi exercitat controlul;
    delegaţie de control – act emis în temeiul deciziei de control, prin care se certifică dreptul controlorului/ilor de a exercita controlul asupra legalităţii operaţiunilor de prelucrare a datelor cu caracter personal efectuate de un anumit operator de date cu caracter personal şi/sau persoană împuternicită de el;
    act de control – act de constatare întocmit de controlor, în formă scrisă, în urma efectuării controlului, în care sînt indicate explicit rezultatele constatate;
    control planificat – control, efectuat în baza unui plan anual sau trimestrial aprobat de directorul Centrului sau persoana care exercită interimatul funcţiei de director, despre care entitatea supusă controlului este informată în termen de 5 zile lucrătoare pînă la declanşare;
    control inopinat – control, care nu este planificat, efectuat în baza plîngerii subiectului de date cu caracter personal care consideră că prelucrarea datelor cu caracter personal nu este conformă cerinţelor Legii nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal (în continuare – Legea nr. 133 din 8 iulie 2011), sesizării autorităţilor publice/autorităţilor administraţiei publice centrale şi locale şi/sau în baza autosesizării Centrului cu privire la comiterea unei încălcări a drepturilor subiecţilor de date cu caracter personal ori a legislaţiei în domeniul protecţiei datelor cu caracter personal;
    control repetat – control, prin care se apreciază calitatea şi se determină corectitudinea controalelor efectuate anterior, urmărindu-se scopul verificării şi contrapunerii rezultatelor controlului efectuat anterior cu rezultatele reale constatate în urma controlului repetat. Controlul repetat se consideră inopinat şi se efectuează în vederea constatării îndeplinirii de către entitatea supusă controlului anterior, a deciziilor emise de Centru;
    control comun – control, la care participă simultan controlori din partea a două sau mai multe organe de control inclusiv a Centrului, în temeiul sesizării/autosesizării şi/sau planului anual/trimestrial aprobat;
    verificarea prealabilă – activitatea de solicitare a informaţiilor, datelor şi documentelor necesare în cadrul examinării notificării depuse la Centru de către entităţile ce intenţionează să prelucreze un anumit volum de date cu caracter personal;
    operator – persoana fizică sau persoana juridică de drept public sau de drept privat, inclusiv autoritatea publică, orice altă instituţie ori organizaţie care, în mod individual sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal prevăzute în mod expres de legislaţia în vigoare;
    persoană împuternicită de către operator – persoana fizică sau persoana juridică de drept public ori de drept privat, inclusiv autoritatea publică şi subdiviziunile ei teritoriale, care prelucrează date cu caracter personal în numele şi pe seama operatorului, pe baza instrucţiunilor primite de la operator;
    reprezentant legal – persoana fizică, care, datorită atribuţiilor de serviciu şi/sau împuternicirilor legale obţinute în modul corespunzător, este desemnată/delegată de către operator sau persoana împuternicită de către operator, în vederea administrării drepturilor şi obligaţiilor ce rezultă din operaţiunile de prelucrare a datelor cu caracter personal;
    entitate supusă controlului – operator şi/sau persoana împuternicită de către operator, în privinţa căreia/ora, a fost pornită şi/sau urmează a fi pornită procedura de control a legalităţii prelucrărilor de date cu caracter personal;
    Registrul controalelor – registru public de evidenţă a controalelor, ţinut şi administrat de către Centru;
    sistem de evidenţă a datelor cu caracter personal – orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie că este centralizată, descentralizată ori repartizată după criterii funcţionale sau geografice. În calitate de sistem de evidenţă a datelor cu caracter personal se constituie inclusiv dar nu se limitează la, bazele de date, sistemele informaţionale şi informatice în care sînt stocate şi prelucrate automatizat sau manual date cu caracter personal.

III. Scopul şi obiectul controlului

    4. Controlul are drept scop verificarea conformităţii prelucrărilor de date cu caracter personal cu cerinţele Legii privind protecţia datelor cu caracter personal, cu Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor de evidenţă a datelor cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010 şi cu Regulamentul Registrului de evidenţă a operatorilor de date cu caracter personal, aprobat prin Hotărîrea Guvernului nr. 296 din 15 mai 2012.
    5. Controlul este efectuat de către persoanele împuternicite, desemnate din cadrul Centrului, fiind supuse controlului operaţiunile de prelucrare a datelor cu caracter personal efectuate:
    a) de operatorii aflaţi pe teritoriul Republicii Moldova;
    b) în cadrul misiunilor diplomatice şi oficiilor consulare ale Republicii Moldova, precum şi de alţi operatori aflaţi în afara teritoriului ţării, însă pe teritorii pe care se aplică dreptul intern al Republicii Moldova;
    c) de operatorii aflaţi în afara teritoriului Republicii Moldova, cu utilizarea mijloacelor aflate pe teritoriul Republicii Moldova (cu excepţia cazurilor în care aceste mijloace nu sînt utilizate decît în scopul tranzitării pe teritoriul Republicii Moldova a datelor cu caracter personal care fac obiectul prelucrării respective);
    d) în cadrul acţiunilor de prevenire şi investigare a infracţiunilor, punerii în executarea a sentinţelor de condamnare şi altor acţiuni din cadrul procedurii penale sau contravenţionale în condiţiile legii, chiar în cazul în care acestea se atribuie la secret de stat în modul stabilit;
    e) de către operatori exclusiv pentru nevoi personale şi familiare dacă prin aceasta s-au încălcat drepturile subiecţilor de date cu caracter personal.
    6. Obiectele supuse controlului:
    a) prelucrarea automatizată, manuală sau mixtă (combinarea mijloacelor automatizate cu cele manuale) a datelor cu caracter personal;
    b) orice purtător de date cu caracter personal, suport magnetic, optic, laser, de hîrtie sau alt suport pe care sînt stocate aceste date;
    c) sistemele de evidenţă a datelor cu caracter personal, reţelele, sistemele operaţionale, sistemele de gestionare a bazelor de date şi alte aplicaţii, prin care se efectuează operaţiuni de prelucrare a datelor cu caracter personal.

IV. Formele controalelor
Secţiunea 1.
Controlul planificat

    7. Controlul planificat este efectuat în baza unui plan anual/trimestrial aprobat de directorul Centrului sau persoana care asigură interimatul funcţiei, care se publică pe pagina web a Centrului.
    8. La planificarea efectuării controalelor planificate, se va lua în calcul informaţiile şi eventualele riscuri ce au fost constatate/obţinute/deduse în urma activităţilor anterioare de control ale Centrului, inclusiv ţinîndu-se cont de numărul şi specificul plîngerilor subiecţilor de date cu caracter personal, precum şi tendinţele de dezvoltare a unor anumite domenii supuse vulnerabilităţilor interne şi/sau externe la capitolul asigurării securităţii prelucrărilor de date cu caracter personal.
    9. Selectarea entităţilor supuse controlului planificat se va face în funcţie de:
    a) categoriile de date cu caracter personal supuse prelucrării;
    b) scopul şi temeiul prelucrării datelor cu caracter personal;
    c) perioada de timp în care entitatea supusă controlului prelucrează date cu caracter personal;
    d) prezenţa informaţiilor despre eventualele incidente de securitate sau operaţii dubioase de prelucrare a datelor cu caracter personal;
    e) data efectuării ultimului control;
    f) gradul de corespundere a politicii de securitate a datelor cu caracter personal cu prevederile Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor de evidenţă a datelor cu caracter personal, aprobate prin Hotărîrea de Guvern nr.1123 din 14 decembrie 2010;
    g) prezenţa încălcărilor anterioare;
    h) gradul de calificare a personalului abilitat să prelucreze date cu caracter personal;
    i) nivelul de protecţie/siguranţă pe care îl oferă aplicaţiile, soft-urile folosite de entitatea supusă controlului la prelucrarea şi asigurarea securităţii datelor cu caracter personal.
    10. Centrul va expedia entităţilor supuse controlului un exemplar al deciziei (Anexa nr. 1 la prezentul Regulament) de efectuare a controlului, astfel încît între momentul efectiv al primirii exemplarului şi cel al începerii controlului să curgă 5 zile lucrătoare. Excepţie de la această regulă va fi în cazul efectuării unui control inopinat în baze legale.
    11. Controlul planificat asupra aceleiaşi entităţi nu poate fi efectuat mai mult decît odată într-un an calendaristic (excepţie fiind controlul inopinat dispus în baze legale).
    12. Personalul abilitat cu funcţii de control nu este în drept să modifice graficul controalelor planificate şi/sau să efectueze controale planificate în cazul în care acestea nu au fost incluse în graficul de control al Centrului.

Secţiunea 2.
Controlul inopinat

    13. În afara graficului controalelor planificate, Centrul poate lua decizia de efectuare a controlului inopinat asupra unui/or operator/i de date cu caracter personal/persoane împuternicite de operator, doar în cazul:
    a) verificării modului de îndeplinire a deciziilor şi instrucţiunilor emise anterior de Centru pentru aducerea prelucrării datelor cu caracter personal în conformitate cu prevederile legale;
    b) sesizării din partea unei autorităţi publice centrale sau locale despre o posibilă încălcare a legislaţiei privind protecţia datelor cu caracter personal;
    c) autosesizării Centrului în cazul existenţei informaţiilor veridice despre prezenţa situaţiilor de încălcare a legislaţiei privind protecţia datelor cu caracter personal, despre încălcarea regimului de securitate necesar prelucrării acestui tip de date;
    d) soluţionării unei plîngeri din partea persoanelor fizice – subiecţi de date cu caracter personal, după caz;
    e) solicitării directe din partea operatorului/persoanei împuternicite de operator de a efectua controlul, dacă pînă la recepţionarea solicitării nu s-a emis decizia de a efectua un control inopinat sau un astfel de control nu este inclus în graficul de control pentru anul curent.
    14. Controlul inopinat nu poate fi desfăşurat în baza informaţiilor neverificate şi/sau provenite dintr-o sursă anonimă, cît şi în cazul cînd există alte modalităţi directe/indirecte de obţinere a informaţiei necesare pentru emiterea unei decizii motivate.

Secţiunea 3.
Controlul comun

15. Controlul comun se va efectua de către Centru în comun cu alte organe de control, în cazul în care se cunoaşte din timp informaţia necesară în privinţa controlului preconizat. În cazul controlului comun, controlorilor Centrului li se vor emite delegaţii (Anexa nr. 2 la prezentul Regulament) separate de control, iar dacă Centrul nu a participat la controlul comun, acesta pierde dreptul de a exercita controlul asupra persoanei respective odată cu emiterea actului de control (Anexa nr. 3 la prezentul Regulament).

V. Pregătirea şi exercitarea controlului
Secţiunea 1.
Dispoziţii generale

    16. Controlorul sau conducătorul grupului de control, în procesul de pregătire pentru control, efectuează următoarele acţiuni:
    a) primeşte de la şeful subdiviziunii respective (Direcţia evidenţă şi control/Direcţia juridică şi relaţii cu publicul) delegaţia de control, înregistrată şi semnată de către directorul Centrului sau persoana care asigură interimatul funcţiei de director;
    b) consultă actele legislative şi normative care stabilesc cerinţe referitoare la obiectul supus controlului;
    c) analizează materialele asupra entităţii supuse anterior controalelor;
    d) examinează subiectul plîngerii, atunci cînd este cazul;
    e) analizează informaţiile necesare cu referire la activitatea entităţii supuse controlului.
    17. Decizia de control va conţine următoarele informaţii:
    a) numărul şi data deciziei cu privire la efectuarea controlului;
    b) numele, prenumele, funcţia persoanei care a dispus efectuarea controlului;
    c) datele de identificare ale entităţii supuse controlului;
    d) tipul controlului şi scopul acestuia;
    e) temeiul juridic de efectuare a controlului;
    f) aspectele ce urmează să fie examinate în cadrul controlului;
    g) termenul de efectuare a controlului;
    h) controlorii desemnaţi în vederea efectuării controlului.
    18. În baza deciziei de control se eliberează delegaţia de control semnată de directorul Centrului ori de persoana care asigură interimatul funcţiei de director.
    19. Delegaţia de control va conţine următoarele informaţii:
    a) numărul şi data emiterii delegaţiei de control;
    b) numele, prenumele, funcţia persoanei/lor care va/vor efectua controlul;
    c) datele de identificare ale entităţii supuse controlului;
    d) tipul, obiectul, perioada şi sarcinile controlului.
    20. Controlorul are dreptul de a exercita controlul doar la întrunirea cumulativă a următoarelor condiţii:
    a) prezentarea legitimaţiei de serviciu, a deciziei şi delegaţiei de control;
    b) înmînarea unui exemplar al delegaţiei de control şi a deciziei de control entităţii supuse controlului sau reprezentantului acesteia;
    c) expirarea termenului de 5 zile lucrătoare de la informarea entităţii supuse controlului (în cazul controlului planificat) despre controlul ce urmează a fi efectuat;
    d) completarea condicii de înregistrare a controalelor, iar în cazul absenţei acesteia, consemnarea acestui fapt în actul de control.
    21. Controlul poate fi efectuat doar de controlorii indicaţi expres în decizia şi delegaţia de control, reprezentanţi ai Direcţiei evidenţă şi control şi/sau Direcţiei juridice şi relaţii cu publicul ale Centrului.
    22. În cazul în care controlul este efectuat de către un grup de controlori, se desemnează conducătorul grupului de control, fapt consemnat în delegaţia de control.
    23. La efectuarea controlului nu pot fi desemnate persoane care sînt în conflict de interese conform prevederilor Legii nr. 16 din 15 februarie 2008 cu privire la conflictul de interese.
    24. În cazul necesităţii înlocuirii controlorului sau desemnării unui/or controlor/i suplimentar/i, directorul Centrului ori persoana care exercită interimatul funcţiei de director, emite o nouă decizie şi o nouă delegaţie de control.
    25. Indiferent de temeiul invocat şi de tipul controlului, acesta nu poate fi efectuat, iar delegaţia de control nu mai este valabilă, la expirarea a 10 zile calendaristice de la data înmînării exemplarului delegaţiei de control către entitatea controlată sau data completării condicii de înregistrare a controalelor, de către controlor.
    26. În cazul controalelor inopinate, termenul de 10 zile poate fi prelungit cu încă 10 zile de către directorul Centrului ori persoana care exercită interimatul funcţiei de director în baza unei decizii motivate, care poate fi contestată în judecată de către entitatea supusă controlului în ordinea prevăzută de Legea contenciosului administrativ nr. 793 din 10 februarie 2000.
    27. În funcţie de locul aflării documentaţiei ce întemeiază operaţiunile de prelucrare a datelor cu caracter personal şi/sau a sistemelor de evidenţă a datelor cu caracter personal, controlul la faţa locului (planificat sau inopinat) se va desfăşura la sediul juridic al entităţii supuse controlului şi/sau la locul desfăşurării de facto a activităţii de prelucrare a datelor cu caracter personal şi/sau la locul amplasării sistemului de evidenţă a datelor cu caracter personal.
    28. În situaţia în care controlul se efectuează în paralel cu desfăşurarea activităţii de întreprinzător a entităţii supuse controlului, conducătorul grupului de control şi controlorul/ii se va/vor comporta discret precum şi va/vor asigura, în măsura posibilităţii, neimplicarea în procesele de activitate a entităţii controlate.

Secţiunea 2. Drepturile şi obligaţiile controlorului

    29. În procesul efectuării controlului, controlorul are următoarele drepturi:
    a) de a avea acces în încăperile şi pe teritoriul unde sînt amplasate sisteme de evidenţă a datelor cu caracter personal, la prezentarea legitimaţiei, deciziei şi a delegaţiei de control entităţii supuse controlului sau a persoanei împuternicite ale acesteia;
    b) de a avea acces la datele cu caracter personal prelucrate, la echipamentul de prelucrare, programe şi aplicaţii, precum şi la orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal;
    c) să exercite controale de securitate, inclusiv cu efectuarea unor măsuri tehnice pentru simularea unui model de accesare a sistemelor de evidenţă a datelor cu caracter personal, în scopul verificării nivelului de protecţie a sistemelor de evidenţă a datelor cu caracter personal, precum şi în scopul preîntîmpinării unor eventuale cazuri de acces ilicit sau întîmplător asupra acestor sisteme, depistării locurilor slabe în mecanismele de protejare a acestora;
    d) să solicite şi să primească gratuit de la persoane fizice sau juridice, informaţiile necesare legate de obiectivele controlului;
    e) să verifice şi să facă copii de pe orice document sau înregistrare referitoare la prelucrarea datelor cu caracter personal;
    f) să solicite şi să primească de la entitatea supusă controlului, explicaţii/informaţii în scris sau verbale privind aspectele controlate;
    g) să formuleze propuneri pentru elaborarea instrucţiunilor necesare pentru remedierea deficienţelor constatate;
    h) să urmărească respectarea măsurilor dispuse în urma efectuării controalelor;
    i) să constate contravenţii şi să întocmească procese-verbale (Anexele nr.4-6 la prezentul Regulament) în baza materialelor de control, conform prevederilor Codului contravenţional;
    j) să dispună, în conformitate cu procedura reglementată de Codul contravenţional, ridicarea anumitor obiecte sau documente care ar avea importanţă pentru cauza contravenţională pornită în procesul controlului;
    k) să efectueze, în conformitate cu procedura reglementată de Codul contravenţional, percheziţie, dacă din probele acumulate la o cauză contravenţională pornită în procesul controlului, rezultă o presupunere rezonabilă că într-o anumită încăpere, la domiciliu ori în alt loc sau la o anumită persoană se pot afla mijloace ce au servit la săvîrşirea contravenţiei, obiecte sau documente care pot avea importanţă pentru cauză;
    l) în cazul constatării, în procesul controlului, a contravenţiei şi întocmirii procesului-verbal cu privire la contravenţie, să exercite drepturile cu care este învestit agentul constatator, în conformitate cu Codul contravenţional.
    30. În procesul efectuării controlului, controlorul are următoarele obligaţii:
    a) să respecte Constituţia Republicii Moldova, legile şi actele normative în vigoare;
    b) să prezinte legitimaţia de serviciu, decizia de control şi delegaţia de control entităţii supuse controlului sau reprezentantului împuternicit legal, inclusiv autorizaţiile judecătoreşti în cazul efectuării percheziţiei sau controlului la domiciliu;
    c) să aibă un comportament decent;
    d) să-şi onoreze obligaţiile cu profesionalism şi promtitudine;
    e) să informeze entitatea supusă controlului despre drepturile şi obligaţiile acesteia;
    f) să respecte drepturile entităţii supuse controlului;
    g) să nu divulge conţinutul documentelor şi al informaţiilor de care a luat cunoştinţă în procesul efectuării controlului, decît în cazurile prevăzute de lege;
    h) să informeze persoana care a depus plîngere despre rezultatele controlului în condiţiile stabilite de Legea nr. 133 din 8 iunie 2011 şi prezentul Regulament;
    i) să exercite obligaţiile, respectînd principiile de independenţă, profesionalism şi integritate, să aprecieze obiectiv şi echidistant toate aspectele ce ţin de efectuarea controlului;
    j) să asigure integritatea bunurilor şi documentaţiei entităţii supuse controlului;
    k) să întocmească actul de control şi/sau, după caz, procesul-verbal de constatare a contravenţiei;
    l) să anexeze la actul de control explicaţiile scrise ale reprezentanţilor entităţii supuse controlului şi/sau angajaţilor acesteia;
    m) să anexeze la procesul-verbal de constatare a contravenţiei, toate mijloacele de probă necesare pentru dovedirea constatărilor consemnate;
    n) să înmîne entităţii supuse controlului un exemplar al actului de control la încheierea acestuia.
    31. În procesul efectuării controalelor, poate fi utilizată metoda de simulare, în cadrul căreia, controlorul:
    a) fără a se legitima în prealabil şi a dezvălui funcţia deţinută şi scopul real al acţiunilor, va simula în raport cu un operator de date cu caracter personal sau persoană împuternicită de acesta, un comportament similar celui descris în plîngerile examinate, depuse de subiecţii de date cu caracter personal şi va îndeplini condiţiile impuse de către entitatea controlată (în special va transmite volumul şi categoriile de date cu caracter personal care se solicită);
    b) va efectua măsuri tehnice pentru simularea unui model de accesare neautorizat a sistemelor de evidenţă a datelor cu caracter personal gestionate de entitatea supusă controlului.
    32. În cazul în care entitatea supusă controlului se eschivează de la prezentarea documentelor necesare, controlorul sau conducătorul grupului de controlori este în drept să se adreseze poliţiei pentru a obţine sprijin la efectuarea controlului respectiv şi să întreprindă măsurile prevăzute de Codul contravenţional al Republicii Moldova în vederea acumulării probatoriului necesar soluţionării cazului.
    33. Refuzul de a furniza informaţii, prezentarea informaţiilor neautentice sau împiedicarea accesului personalului Centrului, inclusiv: ofensarea, ameninţarea, împotrivirea, violenţa, atentarea la viaţă, sănătatea, demnitatea şi averea lor, precum şi a rudelor apropiate, în timpul îndeplinirii atribuţiilor de serviciu sau ca urmare a acesteia, atrage după sine răspunderea contravenţională/penală în conformitate cu legislaţia în vigoare.
    34. Controlorul nu are dreptul:
    a) să verifice aspecte, care, conform legii, sînt supuse controlului de către alte organe de control, dacă acestea nu sînt legate nemijlocit de activitatea de prelucrare a datelor cu caracter personal;
    b) să solicite şi să examineze documente şi alte informaţii ce nu ţin de competenţa sa şi nu sînt relevante obiectului controlului;
    c) să primească sau să acorde recompense băneşti sau alte avantaje necuvenite;
    d) să încalce termenul de efectuare a controlului.

Secţiunea 3. Drepturile şi obligaţiile entităţii supuse controlului

    35. În procesul efectuării controlului, entitatea supusă controlului are următoarele drepturi:
    a) să primească o copie a delegaţiei de control, a deciziei de control şi să ia cunoştinţă de legitimaţia de serviciu a controlorului, inclusiv să primească o copie a actelor emise de judecătorul care a autorizat percheziţia sau intrarea în domiciliu;
    b) să conteste acţiunile controlorilor;
    c) să fie informată referitor la drepturile şi obligaţiile sale;
    d) să asiste personal sau prin reprezentant la procesul controlului;
    e) să prezinte explicaţii şi dovezi în favoarea sa;
    f) să ceară anexarea la actul de control a oricăror documente sau copii ale acestora, pe care entitatea supusă controlului are dreptul să aplice semnătura, explicaţii scrise, precum şi să ceară includerea menţiunilor cu privire la unele fapte sau drepturi/obligaţii;
    g) să ia cunoştinţă de actul de control şi procesul-verbal contravenţional întocmit în urma controlului şi să primească copii de pe acestea.
    36. În procesul efectuării controlului, entitatea supusă controlului are următoarele obligaţii:
    a) să permită accesul controlorilor în încăperile sale de serviciu şi pe teritoriul amplasării sistemelor de evidenţă a datelor cu caracter personal, la datele cu caracter personal prelucrate, la echipamentul de prelucrare, la programe şi aplicaţii, la orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal (pe parcursul programului de lucru);
    b) să prezinte documentele şi informaţiile solicitate de controlor în vederea efectuării controlului;
    c) să creeze condiţii necesare şi, în caz de necesitate, să delege persoana responsabilă de politica de securitate a datelor cu caracter personal ori alţi angajaţi pentru asigurarea desfăşurării procesului de efectuare a controlului;
    d) să asigure prezenţa conducătorului (adjunctului) sau a reprezentanţilor subdiviziunii responsabile de aspectele ce ţin de control (în special persoana responsabilă de politica de securitate a datelor cu caracter personal) în cazul controalelor planificate. În cazul controalelor inopinate, să asigure prezenţa acestora imediat ce va fi posibil în virtutea circumstanţelor obiective;
    e) să coopereze cu controlorul şi să contribuie la executarea eficientă a controlului;
    f) să dea explicaţii în scris sau verbal şi să ofere informaţii relevante controlorilor, referitor la chestiunile abordate în cadrul controlului.
    37. Orice constatare de fapt, care împiedică efectuarea controlului, stabilită de controlor în procesul controlului, cum ar fi:
    a) lipsa entităţii supuse controlului sau a reprezentantului acesteia la adresa indicată;
    b) împiedicarea accesului în încăperile şi pe teritoriul în care sînt amplasate sisteme de evidenţă a datelor cu caracter personal, la datele cu caracter personal prelucrate de operatori şi/sau persoanele împuternicite de către aceştia, la echipamentul de prelucrare, programe şi aplicaţii realizat în orice formă;
    c) refuzul de a furniza informaţiile sau documentele solicitate de angajaţii Centrului în procesul exercitării atribuţiilor de control, prezentarea unor informaţii neautentice sau incomplete, precum şi neprezentarea în termenul stabilit de lege a informaţiilor şi a documentelor solicitate, vor fi consemnate în actul de control şi procesul-verbal de constatare şi/sau în procesul verbal cu privire la contravenţie, semnat de controlor şi de reprezentantul entităţii supuse controlului. Faptul absenţei reprezentantului entităţii ori al refuzului său de a semna se consemnează în procesul-verbal şi se adevereşte prin semnătura a cel puţin 2 martori, indicîndu-se şi datele de identitate ale acestora (numele, prenumele, anul naşterii, domiciliul).
    38. Procedura de control se încheie prin întocmirea de către controlor/i a actului de control, în termen de cel mult 10 zile lucrătoare de la data încheierii controlului (pentru controale planificate) şi de cel mult 3 zile lucrătoare de la data încheierii controlului inopinat. Excepţie de la această regulă va fi în cazurile, cînd în conformitate cu prevederile pct. 83-84 din Cerinţele aprobate prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010, rezultatele controlului sînt puse imediat la dispoziţia operatorului de date cu caracter personal.
    39. Actul de control va conţine, în mod obligatoriu:
    a) denumirea organului de control, subdiviziunii, numele complet şi funcţiile controlorilor;
    b) denumirea completă şi IDNO a persoanei juridice, şi a întreprinzătorului individual supus/e controlului/nr. patentei de întreprinzător/numele, prenumele şi IDNP al persoanei fizice supuse controlului;
    c) tipul şi durata controlului;
    d) obiectul şi temeiul controlului;
    e) date privind aspectele, documentele (indiferent de suport) bunurile, încăperile, obiectele de altă natură care au fost supuse controlului, relevante scopului controlului;
    f) constatările (lipsa sau prezenţa încălcărilor) şi rezultatele controlului;
    g) referinţe exprese la normele actelor legislative şi normative care sînt încălcate de către entitatea supusă controlului.
    40. La actul de control vor fi anexate:
    a) copiile documentelor examinate care confirmă/infirmă încălcarea legislaţiei;
    b) procesele-verbale întocmite în cadrul controlului;
    c) date privind durata controlului;
    d) explicaţiile scrise ale entităţii supuse controlului (şi persoanei responsabile de politica de securitate a datelor cu caracter personal, după caz).
    41. Actul de control se va întocmi în două exemplare, se va numerota şi se va semna pe fiecare pagină de toţi controlorii care au efectuat controlul, de persoana controlată.
    Un exemplar al actului de control se înmînează contra unei confirmări scrise pe actul de control, reprezentantului entităţii supuse controlului. În cazul în care aceasta refuză semnarea şi recepţionarea actului de control, sub semnătura controlorului se va face menţiunea: „A refuzat să semneze şi/sau să primească actul”, iar actul de control va fi expediat persoanei în cauză prin scrisoare recomandată cu aviz de recepţie în termen de cel mult 10 zile lucrătoare de la data încheierii actului de control.
    Al doilea exemplar al actului de control se prezintă directorului Centrului sau persoanei care exercită interimatul funcţiei de director, cu propuneri privind decizia necesar a fi adoptată.
    42. Entitatea supusă controlului are dreptul, în termen de 10 zile lucrătoare de la semnarea actului de control, să prezinte dezacordul faţă de actul de control, susţinut cu probe suplimentare, ce confirmă poziţia sa.
    43. Controlorul va examina materialele prezentate şi, în caz de necesitate, va întocmi un act de control adiţional (fără a efectua rectificări la actul de bază). În actul de control adiţional se va indica actul de control de bază, iar în partea constatatoare se vor reflecta poziţiile modificate, cu respectarea procedurii de întocmire a actului de control, inclusiv celei de anexare a documentelor.
    44. Dreptul de a prezenta dezacordul nu afectează şi nici nu limitează posibilitatea contestării actului de control în modul stabilit de lege.
    45. Actul de control intră în vigoare la expirarea a 30 de zile lucrătoare de la data comunicării lui persoanei vizate în act dacă nu a fost contestat.
    46. În cazul constatării faptei ilicite săvîrşită cu vinovăţie, care atentează la prevederile legale din domeniul protecţiei datelor cu caracter personal şi care este pasibilă de sancţiune contravenţională (cazurile prevăzute de art. 741-743 Cod contravenţional al Republicii Moldova), va fi dispus începerea procesului contravenţional.
    47. În procesul-verbal cu privire la contravenţie întocmit în baza probatoriului acumulat în cadrul procesului contravenţional, se va consemna următoarele:
    1) data (ziua, luna, anul) şi locul încheierii;
    2) calitatea, numele şi prenumele agentului constatator, denumirea autorităţii pe care o reprezintă;
    3) datele de identificare ale entităţii controlate şi/sau reprezentantului/ţilor legal/i a/i acesteia:
    a) în cazul persoanelor juridice - denumirea, sediul, IDNO, datele persoanei fizice care o reprezintă (numele, prenumele, funcţia, actul care-i stabileşte împuternicirile de reprezentare);
    b) în cazul persoanei fizice - numele, prenumele, IDNP, domiciliul, ocupaţia persoanei în a cărei privinţă a fost întocmit procesul-verbal, în conformitate cu buletinul de identitate al acesteia;
    4) fapta contravenţională, locul şi timpul săvîrşirii ei, circumstanţele cauzei care au importanţă pentru stabilirea faptelor şi consecinţelor lor juridice;
    5) încadrarea juridică a faptei, norma materială contravenţională şi indiciile calificative ale elementelor constitutive ale contravenţiei, evaluarea eventualelor pagube cauzate de contravenţie;
    6) informaţii privind aducerea la cunoştinţa contravenientului a drepturilor şi obligaţiilor sale prevăzute la art. 384 Cod contravenţional;
    7) dacă s-au făcut copii de pe documente sau înregistrări referitoare la operaţiunile de prelucrare a datelor cu caracter personal;
    8) informaţia privind corpurile delicte, indicîndu-se datele proprietarului şi, după caz, măsurile luate pentru valorificarea sau conservarea lor;
    9) obiecţiile şi probele pe care persoana în a cărei privinţă a fost întocmit procesul-verbal cu privire la contravenţie le aduce în apărarea sa, precum şi obiecţiile şi probele victimei;
    10) motivele pentru care persoana în a cărei privinţă a fost întocmit procesul-verbal cu privire la contravenţie şi/sau a reprezentantului legal al acesteia nu a/au semnat procesul-verbal de constatare, cu indicarea datelor de identificare a martorilor (numele, prenumele, anul naşterii şi domiciliul) care atestă absenţa sau refuzul persoanei în a cărei privinţă a fost întocmit procesul-verbal cu privire la contravenţie;
    11)    În cazul în care persoana în a cărei privinţă a fost pornit procesul contravenţional sau victima nu cunoaşte limba procesului-verbal, se va asigura asistenţa unui interpret/traducător, datele lui consemnîndu-se în procesul-verbal.
    48. În procesul-verbal nu se vor admite rectificări, adăugiri, alte modificări. În cazul necesităţii unor astfel de acţiuni, se va încheia un nou proces-verbal, în care se va face consemnarea respectivă.
    49. În procesul-verbal se va indica instanţa de judecată unde va fi expediat pentru examinare dosarul contravenţional.
    50. Procesele-verbale cu privire la contravenţii vor fi remise ulterior, împreună cu alte materiale şi probe, spre examinare în fond instanţei judecătoreşti aflate în raza teritorială de amplasare a Centrului.
    51. Concomitent cu constatarea faptei contravenţionale, după caz, se va emite decizia de suspendare sau de încetare (Anexa nr. 9 la prezentul Regulament) a operaţiunilor de prelucrare a datelor cu caracter personal conform prevederilor art. 20 alin. (1) lit. e) al Legii nr. 133 din 8 iulie 2011 ori decizia privind rectificarea, blocarea sau distrugerea datelor neveridice sau obţinute ilicit, în conformitate cu prevederile art. 27 alin. (3) al aceluiaşi act legislativ. Copia procesului-verbal şi decizia se prezintă contra semnătură persoanei supuse controlului sau se expediază prin scrisoare recomandată cu aviz de recepţie.
    52. Operatorul de date cu caracter personal sau persoana împuternicită sînt obligaţi să înlăture circumstanţele indicate în deciziile Centrului în termen de 30 de zile. La expirarea termenului stabilit, entitatea supusă controlului este obligată să prezinte Centrului informaţiile privind înlăturarea încălcărilor.
    53. Deciziile indicate în pct. 51 vor stabili:
    a) încălcările admise de entitatea supusă controlului cu referinţe directe la prevederile legislaţiei în vigoare;
    b) instrucţiunile privind înlăturarea încălcărilor constatate şi aducere a prelucrărilor de date în conformitate cu prevederile legale, după caz;
    c) obligaţia entităţii de a executa şi a informa Centrul, în termen de 30 de zile calendaristice, din momentul recepţionării, privind îndeplinirea sau contestarea Deciziei în ordinea prevăzută de Legea contenciosului administrativ nr. 793 din 10 februarie 2000.
    54. În caz dacă entitatea supusă controlului nu a înlăturat circumstanţele ce au servit temei pentru emiterea deciziei de suspendare a operaţiunilor de prelucrare a datelor cu caracter personal în termenul stabilit, Centrul va emite decizia de încetare a operaţiunilor de prelucrare a datelor cu caracter personal cu sau fără dispunerea blocării/distrugerii datelor cu caracter personal neveridice sau obţinute ilicit.
    55. Entitatea supusă controlului este în drept să conteste în instanţa de judecată deciziile emise în rezultatul controlului, în corespundere cu prevederile Legii contenciosului administrativ nr. 793 din 10 februarie 2000.

VI. Reguli specifice privind efectuarea verificării prealabile

    56. În conformitate cu art. 23 alin. (1) al Legii nr. 133 din 8 iulie 2011, entităţile care intenţionează şi/sau operatorii care efectuează operaţiuni de prelucrare a datelor cu caracter personal destinate să servească unui scop, sînt obligaţi să notifice personal sau prin persoane împuternicite, Centrul. Prelucrarea datelor cu caracter personal fără autorizaţie sau în afara limitelor prevăzute de lege, este interzisă.
    57. Dacă în baza notificării depuse de operatorul de date cu caracter personal sau persoanei împuternicite, Centrul constată că prelucrarea se încadrează în una din categoriile menţionate în pct. 59 al prevederilor prezentului Regulament, va dispune efectuarea unei verificări prealabile şi va anunţa operatorul sau persoana împuternicită de acesta în termen de 5 zile de la data depunerii notificării.
    58. Verificarea va fi efectuată în baza informaţiilor prezentate în notificare de operator sau persoana împuternicită, ori cele solicitate suplimentar în scopul constatării:
    c) originii datelor cu caracter personal;
    d) tehnologiei de prelucrare automatizată utilizată;
    e) măsurilor de securitate a prelucrării datelor cu caracter personal aplicate.
    59. Verificarea prealabilă va fi dispusă obligatoriu în cazurile în care sînt notificate operaţiuni de prelucrare a datelor cu caracter personal, care sînt susceptibile de a prezenta riscuri speciale pentru drepturile şi libertăţile persoanelor, în special:
    a) operaţiunile de prelucrare a datelor cu caracter personal ce fac obiectul transmiterii transfrontaliere;
    b) operaţiunile de prelucrare a categoriilor speciale de date, datelor genetice, biometrice şi a celor care permit localizarea geografică a persoanelor, inclusiv în scop de cercetare ştiinţifică;
    c) operaţiunile de prelucrare a datelor cu caracter personal prin mijloace electronice avînd ca scop evaluarea unor aspecte ale personalităţii, precum competenţa profesională, credibilitatea, comportamentul;
    d) operaţiunile de prelucrare a datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme de evidenţă a datelor cu caracter personal avînd ca scop adoptarea unor decizii automate individuale în legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor susceptibile de a trage la răspundere disciplinară, contravenţională sau penală a persoanelor fizice, efectuate de către persoanele de drept privat;
    e) operaţiunile de prelucrare a datelor cu caracter personal ale minorilor în cadrul activităţilor de prospectare comercială (activităţilor de marketing direct);
    f) operaţiunile de prelucrare a datelor cu caracter personal ale minorilor, colectate prin intermediul Internetului sau mesageriei electronice.
    60. Verificarea prealabilă va fi efectuată sub următoarele aspecte:
    a) respectarea prevederilor legale referitoare la prelucrarea datelor cu caracter personal;
    b) necesitatea adoptării unor măsuri suplimentare de securitate.
    61. Durata verificării prealabile nu va depăşi 45 de zile calendaristice. În caz de necesitate, ţinînd cont de complexitatea operaţiunii de prelucrare, termenul de verificare prealabilă poate fi prelungit cu încă 45 de zile calendaristice, fapt despre care este informat operatorul de date cu caracter personal sau persoana împuternicită de acesta.
    62. În termen de 7 zile lucrătoare de la data finalizării verificării prealabile, Centrul va emite decizie privind:
    a) autorizarea începerii prelucrării datelor cu caracter personal, în condiţiile declarate în notificare;
    b) autorizarea începerii prelucrării datelor cu caracter personal, în alte condiţii decît cele declarate în notificare;
    c) refuzul autorizării prelucrării datelor cu caracter personal.
    63. Decizia privind refuzul de a autoriza prelucrarea datelor cu caracter personal trebuie să conţină motivele ce justifică refuzul şi, după caz, modalitatea de înlăturare a circumstanţelor ce împiedică prelucrarea datelor respective (recomandări, avize, decizii, instrucţiuni obligatorii sau a altor măsuri de înlăturare a deficienţelor constatate, cu respectarea termenelor legale).
    64. Refuzul de a autoriza prelucrarea datelor cu caracter personal nu exclude posibilitatea entităţii ce intenţionează prelucrarea sau operatorului de a notifica în mod repetat Centrul, după înlăturarea circumstanţelor ce au împiedicat prelucrarea datelor respective.
    65. Deciziile emise după finalizarea verificării prealabile vor fi semnate de directorul Centrului sau persoana care exercită interimatul funcţiei de director.
    66. Deciziile pot fi contestate în ordinea prevăzută de Legea contenciosului administrativ nr. 793 din 10 februarie 2000.

VII. Registrul controalelor

    67. Registrul controalelor este instituit şi administrat în formă automatizată de Centru în modul stabilit de legislaţia în vigoare.
    68. Registrul va conţine următoarele date:
    a) denumirea entităţii supuse controlului;
    b) numărul şi data emiterii deciziei de control sau verificării prealabile;
    c) numărul şi data emiterii delegaţiei de control, precum şi numele complet al controlorilor;
    d) perioada efectuării controlului;
    e) tipul controlului;
    f) actele întocmite în urma controlului (actul de control, decizia de suspendare/încetare a operaţiunilor de prelucrare a datelor cu caracter personal, procesul-verbal cu privire la contravenţie);
    g) informaţii privind executarea deciziilor emise în urma controlului sau a sancţiunii contravenţionale aplicate de instanţa de judecată.
    69. Datele menţionate la subpct. a)-e) ale pct. 68 sînt incluse obligatoriu în Registrul controalelor în termen de cel mult 5 zile lucrătoare de la data iniţierii controlului.
    70. În termen de cel mult 5 zile lucrătoare de la data introducerii datelor în Registrul controalelor, Centrul va transmite aceste date autorităţii administraţiei publice centrale de monitorizare a controalelor (Cancelaria de Stat) în vederea introducerii lor în Registrul de stat al controalelor.
    71. Prin derogare de la prevederile pct. 70 în cazul în care entitatea supusă controlului nu practică activitate de întreprinzător, datele din Registrul controalelor nu se transmit autorităţii administraţiei publice centrale de monitorizare a controalelor.

VIII. Responsabilităţi

    72. Persoanele abilitate cu funcţii de control al legalităţii prelucrărilor de date cu caracter personal sînt obligate să nu divulge informaţia cu accesibilitate limitată la care au primit acces în legătură cu exercitarea atribuţiilor funcţionale, inclusiv după încetarea activităţii în cadrul Centrului.
    73. Persoanele vinovate de nerespectarea prevederilor prezentului Regulament pot fi trase la răspundere în conformitate cu legislaţia civilă, contravenţională sau penală.
    74. Sistemul informaţional de evidenţă a controalelor “Registrul controalelor” va fi gestionat, pe toată perioada ciclului de viaţă, în conformitate cu prevederile stabilite de Legea cu privire la registre nr. 71 din 22 martie 2007 şi Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010.

anexa nr.1

    anexa nr.2

    anexa nr.3

    anexa nr.4

    anexa nr.5

    anexa nr.6

    anexa nr.7

    anexa nr.8

    anexa nr.9

OCNPDCP14/2014 ID intern unic: 353374 Версия на русском	Fişa actului juridic
Republica Moldova
CENTRUL NAŢIONAL PENTRU PROTECŢIA DATELOR CU CARACTER PERSONAL
ORDIN Nr. 14 din 12.05.2014
cu privire la aprobarea Regulamentului privind controlul legalităţii prelucrărilor de date cu caracter personal
Publicat : 13.06.2014 în Monitorul Oficial Nr. 153-159 art Nr : 814
ÎNREGISTRAT: Ministerul Justiţiei al Republicii Moldova ____________ Oleg EFRIM nr. 980 din 2 iunie 2014 În conformitate cu prevederile art. 20 alin.(1) lit. i) şi art. 26 din Legea nr.133 din 8 iulie 2011 privind protecţia datelor cu caracter personal, ORDON: 1. Se aprobă Regulamentul privind controlul legalităţii prelucrărilor de date cu caracter personal (se anexează). 2. Direcţia juridică şi relaţii cu publicul va înregistra prezentul ordin în Registrul actelor normative ale Centrului Naţional pentru Protecţia Datelor cu Caracter Personal şi, în comun cu Direcţia evidenţă şi control, va asigura plasarea acestuia pe pagina web oficială a Centrului. 3. Controlul executării prezentului ordin mi-l asum. DIRECTORUL CENTRULUI NAȚIONAL PENTRU PROTECȚIA DATELOR CU CARACTER PERSONAL Vitalie PANIŞ Nr. 14. Chişinău, 12 mai 2014. Aprobat prin ordinul Directorului Centrului Naţional pentru Protecţia Datelor cu Caracter Personal nr. 14 din 12 mai 2014 REGULAMENT PRIVIND CONTROLUL LEGALITĂŢII PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL I. Dispoziţii generale 1. Regulamentul privind controlul legalităţii prelucrărilor de date cu caracter personal (în continuare – Regulament) este elaborat cu scopul reglementării, sub aspect juridic şi instituţional, a activităţilor de control al legalităţii prelucrărilor de date cu caracter personal, efectuate de Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (în continuare – Centru), şi stabileşte scopul şi obiectul controlului, formele controalelor, procedura de pregătire şi exercitare a controlului, reguli specifice privind efectuarea verificării prealabile, modalitatea ţinerii Registrului controalelor. 2. Prevederile Regulamentului se aplică asupra raporturilor juridice ce apar în procesul controlului legalităţii prelucrărilor de date cu caracter personal efectuate de către entităţi care practică activitate de întreprinzător, entităţilor care nu se constituie în calitate de întreprinzători, inclusiv autorităţilor publice şi persoanelor fizice. II. Noţiuni principale 3. În sensul prezentului Regulament se definesc următoarele noţiuni: activitate de întreprinzător - activitate cu scop lucrativ (de producţie, executare a lucrărilor, prestare de servicii etc.) a persoanei fizice sau juridice, efectuată în nume propriu şi sub răspunderea ei patrimonială, cu scopul de a obţine în mod periodic în decursul unui interval de timp o sursă de venituri; controlul legalităţii prelucrărilor de date cu caracter personal – totalitatea acţiunilor de verificare a corespunderii operaţiunilor de prelucrare a datelor cu caracter personal cu cerinţele legale şi a îndeplinirii condiţiilor prevăzute de lege de către operatorul de date cu caracter personal sau persoana împuternicită de către acesta, realizate de Centru; controlor – persoana/ele împuternicită/e de Centru prin delegaţie de control să exercite în mod efectiv controlul asupra legalităţii operaţiunilor de prelucrare a datelor cu caracter personal; decizie de control – hotărîre adoptată de Centru, în limitele competenţelor, în care se indică entitatea asupra căreia va fi exercitat controlul; delegaţie de control – act emis în temeiul deciziei de control, prin care se certifică dreptul controlorului/ilor de a exercita controlul asupra legalităţii operaţiunilor de prelucrare a datelor cu caracter personal efectuate de un anumit operator de date cu caracter personal şi/sau persoană împuternicită de el; act de control – act de constatare întocmit de controlor, în formă scrisă, în urma efectuării controlului, în care sînt indicate explicit rezultatele constatate; control planificat – control, efectuat în baza unui plan anual sau trimestrial aprobat de directorul Centrului sau persoana care exercită interimatul funcţiei de director, despre care entitatea supusă controlului este informată în termen de 5 zile lucrătoare pînă la declanşare; control inopinat – control, care nu este planificat, efectuat în baza plîngerii subiectului de date cu caracter personal care consideră că prelucrarea datelor cu caracter personal nu este conformă cerinţelor Legii nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal (în continuare – Legea nr. 133 din 8 iulie 2011), sesizării autorităţilor publice/autorităţilor administraţiei publice centrale şi locale şi/sau în baza autosesizării Centrului cu privire la comiterea unei încălcări a drepturilor subiecţilor de date cu caracter personal ori a legislaţiei în domeniul protecţiei datelor cu caracter personal; control repetat – control, prin care se apreciază calitatea şi se determină corectitudinea controalelor efectuate anterior, urmărindu-se scopul verificării şi contrapunerii rezultatelor controlului efectuat anterior cu rezultatele reale constatate în urma controlului repetat. Controlul repetat se consideră inopinat şi se efectuează în vederea constatării îndeplinirii de către entitatea supusă controlului anterior, a deciziilor emise de Centru; control comun – control, la care participă simultan controlori din partea a două sau mai multe organe de control inclusiv a Centrului, în temeiul sesizării/autosesizării şi/sau planului anual/trimestrial aprobat; verificarea prealabilă – activitatea de solicitare a informaţiilor, datelor şi documentelor necesare în cadrul examinării notificării depuse la Centru de către entităţile ce intenţionează să prelucreze un anumit volum de date cu caracter personal; operator – persoana fizică sau persoana juridică de drept public sau de drept privat, inclusiv autoritatea publică, orice altă instituţie ori organizaţie care, în mod individual sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal prevăzute în mod expres de legislaţia în vigoare; persoană împuternicită de către operator – persoana fizică sau persoana juridică de drept public ori de drept privat, inclusiv autoritatea publică şi subdiviziunile ei teritoriale, care prelucrează date cu caracter personal în numele şi pe seama operatorului, pe baza instrucţiunilor primite de la operator; reprezentant legal – persoana fizică, care, datorită atribuţiilor de serviciu şi/sau împuternicirilor legale obţinute în modul corespunzător, este desemnată/delegată de către operator sau persoana împuternicită de către operator, în vederea administrării drepturilor şi obligaţiilor ce rezultă din operaţiunile de prelucrare a datelor cu caracter personal; entitate supusă controlului – operator şi/sau persoana împuternicită de către operator, în privinţa căreia/ora, a fost pornită şi/sau urmează a fi pornită procedura de control a legalităţii prelucrărilor de date cu caracter personal; Registrul controalelor – registru public de evidenţă a controalelor, ţinut şi administrat de către Centru; sistem de evidenţă a datelor cu caracter personal – orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie că este centralizată, descentralizată ori repartizată după criterii funcţionale sau geografice. În calitate de sistem de evidenţă a datelor cu caracter personal se constituie inclusiv dar nu se limitează la, bazele de date, sistemele informaţionale şi informatice în care sînt stocate şi prelucrate automatizat sau manual date cu caracter personal. III. Scopul şi obiectul controlului 4. Controlul are drept scop verificarea conformităţii prelucrărilor de date cu caracter personal cu cerinţele Legii privind protecţia datelor cu caracter personal, cu Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor de evidenţă a datelor cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010 şi cu Regulamentul Registrului de evidenţă a operatorilor de date cu caracter personal, aprobat prin Hotărîrea Guvernului nr. 296 din 15 mai 2012. 5. Controlul este efectuat de către persoanele împuternicite, desemnate din cadrul Centrului, fiind supuse controlului operaţiunile de prelucrare a datelor cu caracter personal efectuate: a) de operatorii aflaţi pe teritoriul Republicii Moldova; b) în cadrul misiunilor diplomatice şi oficiilor consulare ale Republicii Moldova, precum şi de alţi operatori aflaţi în afara teritoriului ţării, însă pe teritorii pe care se aplică dreptul intern al Republicii Moldova; c) de operatorii aflaţi în afara teritoriului Republicii Moldova, cu utilizarea mijloacelor aflate pe teritoriul Republicii Moldova (cu excepţia cazurilor în care aceste mijloace nu sînt utilizate decît în scopul tranzitării pe teritoriul Republicii Moldova a datelor cu caracter personal care fac obiectul prelucrării respective); d) în cadrul acţiunilor de prevenire şi investigare a infracţiunilor, punerii în executarea a sentinţelor de condamnare şi altor acţiuni din cadrul procedurii penale sau contravenţionale în condiţiile legii, chiar în cazul în care acestea se atribuie la secret de stat în modul stabilit; e) de către operatori exclusiv pentru nevoi personale şi familiare dacă prin aceasta s-au încălcat drepturile subiecţilor de date cu caracter personal. 6. Obiectele supuse controlului: a) prelucrarea automatizată, manuală sau mixtă (combinarea mijloacelor automatizate cu cele manuale) a datelor cu caracter personal; b) orice purtător de date cu caracter personal, suport magnetic, optic, laser, de hîrtie sau alt suport pe care sînt stocate aceste date; c) sistemele de evidenţă a datelor cu caracter personal, reţelele, sistemele operaţionale, sistemele de gestionare a bazelor de date şi alte aplicaţii, prin care se efectuează operaţiuni de prelucrare a datelor cu caracter personal. IV. Formele controalelor Secţiunea 1. Controlul planificat 7. Controlul planificat este efectuat în baza unui plan anual/trimestrial aprobat de directorul Centrului sau persoana care asigură interimatul funcţiei, care se publică pe pagina web a Centrului. 8. La planificarea efectuării controalelor planificate, se va lua în calcul informaţiile şi eventualele riscuri ce au fost constatate/obţinute/deduse în urma activităţilor anterioare de control ale Centrului, inclusiv ţinîndu-se cont de numărul şi specificul plîngerilor subiecţilor de date cu caracter personal, precum şi tendinţele de dezvoltare a unor anumite domenii supuse vulnerabilităţilor interne şi/sau externe la capitolul asigurării securităţii prelucrărilor de date cu caracter personal. 9. Selectarea entităţilor supuse controlului planificat se va face în funcţie de: a) categoriile de date cu caracter personal supuse prelucrării; b) scopul şi temeiul prelucrării datelor cu caracter personal; c) perioada de timp în care entitatea supusă controlului prelucrează date cu caracter personal; d) prezenţa informaţiilor despre eventualele incidente de securitate sau operaţii dubioase de prelucrare a datelor cu caracter personal; e) data efectuării ultimului control; f) gradul de corespundere a politicii de securitate a datelor cu caracter personal cu prevederile Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor de evidenţă a datelor cu caracter personal, aprobate prin Hotărîrea de Guvern nr.1123 din 14 decembrie 2010; g) prezenţa încălcărilor anterioare; h) gradul de calificare a personalului abilitat să prelucreze date cu caracter personal; i) nivelul de protecţie/siguranţă pe care îl oferă aplicaţiile, soft-urile folosite de entitatea supusă controlului la prelucrarea şi asigurarea securităţii datelor cu caracter personal. 10. Centrul va expedia entităţilor supuse controlului un exemplar al deciziei (Anexa nr. 1 la prezentul Regulament) de efectuare a controlului, astfel încît între momentul efectiv al primirii exemplarului şi cel al începerii controlului să curgă 5 zile lucrătoare. Excepţie de la această regulă va fi în cazul efectuării unui control inopinat în baze legale. 11. Controlul planificat asupra aceleiaşi entităţi nu poate fi efectuat mai mult decît odată într-un an calendaristic (excepţie fiind controlul inopinat dispus în baze legale). 12. Personalul abilitat cu funcţii de control nu este în drept să modifice graficul controalelor planificate şi/sau să efectueze controale planificate în cazul în care acestea nu au fost incluse în graficul de control al Centrului. Secţiunea 2. Controlul inopinat 13. În afara graficului controalelor planificate, Centrul poate lua decizia de efectuare a controlului inopinat asupra unui/or operator/i de date cu caracter personal/persoane împuternicite de operator, doar în cazul: a) verificării modului de îndeplinire a deciziilor şi instrucţiunilor emise anterior de Centru pentru aducerea prelucrării datelor cu caracter personal în conformitate cu prevederile legale; b) sesizării din partea unei autorităţi publice centrale sau locale despre o posibilă încălcare a legislaţiei privind protecţia datelor cu caracter personal; c) autosesizării Centrului în cazul existenţei informaţiilor veridice despre prezenţa situaţiilor de încălcare a legislaţiei privind protecţia datelor cu caracter personal, despre încălcarea regimului de securitate necesar prelucrării acestui tip de date; d) soluţionării unei plîngeri din partea persoanelor fizice – subiecţi de date cu caracter personal, după caz; e) solicitării directe din partea operatorului/persoanei împuternicite de operator de a efectua controlul, dacă pînă la recepţionarea solicitării nu s-a emis decizia de a efectua un control inopinat sau un astfel de control nu este inclus în graficul de control pentru anul curent. 14. Controlul inopinat nu poate fi desfăşurat în baza informaţiilor neverificate şi/sau provenite dintr-o sursă anonimă, cît şi în cazul cînd există alte modalităţi directe/indirecte de obţinere a informaţiei necesare pentru emiterea unei decizii motivate. Secţiunea 3. Controlul comun 15. Controlul comun se va efectua de către Centru în comun cu alte organe de control, în cazul în care se cunoaşte din timp informaţia necesară în privinţa controlului preconizat. În cazul controlului comun, controlorilor Centrului li se vor emite delegaţii (Anexa nr. 2 la prezentul Regulament) separate de control, iar dacă Centrul nu a participat la controlul comun, acesta pierde dreptul de a exercita controlul asupra persoanei respective odată cu emiterea actului de control (Anexa nr. 3 la prezentul Regulament). V. Pregătirea şi exercitarea controlului Secţiunea 1. Dispoziţii generale 16. Controlorul sau conducătorul grupului de control, în procesul de pregătire pentru control, efectuează următoarele acţiuni: a) primeşte de la şeful subdiviziunii respective (Direcţia evidenţă şi control/Direcţia juridică şi relaţii cu publicul) delegaţia de control, înregistrată şi semnată de către directorul Centrului sau persoana care asigură interimatul funcţiei de director; b) consultă actele legislative şi normative care stabilesc cerinţe referitoare la obiectul supus controlului; c) analizează materialele asupra entităţii supuse anterior controalelor; d) examinează subiectul plîngerii, atunci cînd este cazul; e) analizează informaţiile necesare cu referire la activitatea entităţii supuse controlului. 17. Decizia de control va conţine următoarele informaţii: a) numărul şi data deciziei cu privire la efectuarea controlului; b) numele, prenumele, funcţia persoanei care a dispus efectuarea controlului; c) datele de identificare ale entităţii supuse controlului; d) tipul controlului şi scopul acestuia; e) temeiul juridic de efectuare a controlului; f) aspectele ce urmează să fie examinate în cadrul controlului; g) termenul de efectuare a controlului; h) controlorii desemnaţi în vederea efectuării controlului. 18. În baza deciziei de control se eliberează delegaţia de control semnată de directorul Centrului ori de persoana care asigură interimatul funcţiei de director. 19. Delegaţia de control va conţine următoarele informaţii: a) numărul şi data emiterii delegaţiei de control; b) numele, prenumele, funcţia persoanei/lor care va/vor efectua controlul; c) datele de identificare ale entităţii supuse controlului; d) tipul, obiectul, perioada şi sarcinile controlului. 20. Controlorul are dreptul de a exercita controlul doar la întrunirea cumulativă a următoarelor condiţii: a) prezentarea legitimaţiei de serviciu, a deciziei şi delegaţiei de control; b) înmînarea unui exemplar al delegaţiei de control şi a deciziei de control entităţii supuse controlului sau reprezentantului acesteia; c) expirarea termenului de 5 zile lucrătoare de la informarea entităţii supuse controlului (în cazul controlului planificat) despre controlul ce urmează a fi efectuat; d) completarea condicii de înregistrare a controalelor, iar în cazul absenţei acesteia, consemnarea acestui fapt în actul de control. 21. Controlul poate fi efectuat doar de controlorii indicaţi expres în decizia şi delegaţia de control, reprezentanţi ai Direcţiei evidenţă şi control şi/sau Direcţiei juridice şi relaţii cu publicul ale Centrului. 22. În cazul în care controlul este efectuat de către un grup de controlori, se desemnează conducătorul grupului de control, fapt consemnat în delegaţia de control. 23. La efectuarea controlului nu pot fi desemnate persoane care sînt în conflict de interese conform prevederilor Legii nr. 16 din 15 februarie 2008 cu privire la conflictul de interese. 24. În cazul necesităţii înlocuirii controlorului sau desemnării unui/or controlor/i suplimentar/i, directorul Centrului ori persoana care exercită interimatul funcţiei de director, emite o nouă decizie şi o nouă delegaţie de control. 25. Indiferent de temeiul invocat şi de tipul controlului, acesta nu poate fi efectuat, iar delegaţia de control nu mai este valabilă, la expirarea a 10 zile calendaristice de la data înmînării exemplarului delegaţiei de control către entitatea controlată sau data completării condicii de înregistrare a controalelor, de către controlor. 26. În cazul controalelor inopinate, termenul de 10 zile poate fi prelungit cu încă 10 zile de către directorul Centrului ori persoana care exercită interimatul funcţiei de director în baza unei decizii motivate, care poate fi contestată în judecată de către entitatea supusă controlului în ordinea prevăzută de Legea contenciosului administrativ nr. 793 din 10 februarie 2000. 27. În funcţie de locul aflării documentaţiei ce întemeiază operaţiunile de prelucrare a datelor cu caracter personal şi/sau a sistemelor de evidenţă a datelor cu caracter personal, controlul la faţa locului (planificat sau inopinat) se va desfăşura la sediul juridic al entităţii supuse controlului şi/sau la locul desfăşurării de facto a activităţii de prelucrare a datelor cu caracter personal şi/sau la locul amplasării sistemului de evidenţă a datelor cu caracter personal. 28. În situaţia în care controlul se efectuează în paralel cu desfăşurarea activităţii de întreprinzător a entităţii supuse controlului, conducătorul grupului de control şi controlorul/ii se va/vor comporta discret precum şi va/vor asigura, în măsura posibilităţii, neimplicarea în procesele de activitate a entităţii controlate. Secţiunea 2. Drepturile şi obligaţiile controlorului 29. În procesul efectuării controlului, controlorul are următoarele drepturi: a) de a avea acces în încăperile şi pe teritoriul unde sînt amplasate sisteme de evidenţă a datelor cu caracter personal, la prezentarea legitimaţiei, deciziei şi a delegaţiei de control entităţii supuse controlului sau a persoanei împuternicite ale acesteia; b) de a avea acces la datele cu caracter personal prelucrate, la echipamentul de prelucrare, programe şi aplicaţii, precum şi la orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal; c) să exercite controale de securitate, inclusiv cu efectuarea unor măsuri tehnice pentru simularea unui model de accesare a sistemelor de evidenţă a datelor cu caracter personal, în scopul verificării nivelului de protecţie a sistemelor de evidenţă a datelor cu caracter personal, precum şi în scopul preîntîmpinării unor eventuale cazuri de acces ilicit sau întîmplător asupra acestor sisteme, depistării locurilor slabe în mecanismele de protejare a acestora; d) să solicite şi să primească gratuit de la persoane fizice sau juridice, informaţiile necesare legate de obiectivele controlului; e) să verifice şi să facă copii de pe orice document sau înregistrare referitoare la prelucrarea datelor cu caracter personal; f) să solicite şi să primească de la entitatea supusă controlului, explicaţii/informaţii în scris sau verbale privind aspectele controlate; g) să formuleze propuneri pentru elaborarea instrucţiunilor necesare pentru remedierea deficienţelor constatate; h) să urmărească respectarea măsurilor dispuse în urma efectuării controalelor; i) să constate contravenţii şi să întocmească procese-verbale (Anexele nr.4-6 la prezentul Regulament) în baza materialelor de control, conform prevederilor Codului contravenţional; j) să dispună, în conformitate cu procedura reglementată de Codul contravenţional, ridicarea anumitor obiecte sau documente care ar avea importanţă pentru cauza contravenţională pornită în procesul controlului; k) să efectueze, în conformitate cu procedura reglementată de Codul contravenţional, percheziţie, dacă din probele acumulate la o cauză contravenţională pornită în procesul controlului, rezultă o presupunere rezonabilă că într-o anumită încăpere, la domiciliu ori în alt loc sau la o anumită persoană se pot afla mijloace ce au servit la săvîrşirea contravenţiei, obiecte sau documente care pot avea importanţă pentru cauză; l) în cazul constatării, în procesul controlului, a contravenţiei şi întocmirii procesului-verbal cu privire la contravenţie, să exercite drepturile cu care este învestit agentul constatator, în conformitate cu Codul contravenţional. 30. În procesul efectuării controlului, controlorul are următoarele obligaţii: a) să respecte Constituţia Republicii Moldova, legile şi actele normative în vigoare; b) să prezinte legitimaţia de serviciu, decizia de control şi delegaţia de control entităţii supuse controlului sau reprezentantului împuternicit legal, inclusiv autorizaţiile judecătoreşti în cazul efectuării percheziţiei sau controlului la domiciliu; c) să aibă un comportament decent; d) să-şi onoreze obligaţiile cu profesionalism şi promtitudine; e) să informeze entitatea supusă controlului despre drepturile şi obligaţiile acesteia; f) să respecte drepturile entităţii supuse controlului; g) să nu divulge conţinutul documentelor şi al informaţiilor de care a luat cunoştinţă în procesul efectuării controlului, decît în cazurile prevăzute de lege; h) să informeze persoana care a depus plîngere despre rezultatele controlului în condiţiile stabilite de Legea nr. 133 din 8 iunie 2011 şi prezentul Regulament; i) să exercite obligaţiile, respectînd principiile de independenţă, profesionalism şi integritate, să aprecieze obiectiv şi echidistant toate aspectele ce ţin de efectuarea controlului; j) să asigure integritatea bunurilor şi documentaţiei entităţii supuse controlului; k) să întocmească actul de control şi/sau, după caz, procesul-verbal de constatare a contravenţiei; l) să anexeze la actul de control explicaţiile scrise ale reprezentanţilor entităţii supuse controlului şi/sau angajaţilor acesteia; m) să anexeze la procesul-verbal de constatare a contravenţiei, toate mijloacele de probă necesare pentru dovedirea constatărilor consemnate; n) să înmîne entităţii supuse controlului un exemplar al actului de control la încheierea acestuia. 31. În procesul efectuării controalelor, poate fi utilizată metoda de simulare, în cadrul căreia, controlorul: a) fără a se legitima în prealabil şi a dezvălui funcţia deţinută şi scopul real al acţiunilor, va simula în raport cu un operator de date cu caracter personal sau persoană împuternicită de acesta, un comportament similar celui descris în plîngerile examinate, depuse de subiecţii de date cu caracter personal şi va îndeplini condiţiile impuse de către entitatea controlată (în special va transmite volumul şi categoriile de date cu caracter personal care se solicită); b) va efectua măsuri tehnice pentru simularea unui model de accesare neautorizat a sistemelor de evidenţă a datelor cu caracter personal gestionate de entitatea supusă controlului. 32. În cazul în care entitatea supusă controlului se eschivează de la prezentarea documentelor necesare, controlorul sau conducătorul grupului de controlori este în drept să se adreseze poliţiei pentru a obţine sprijin la efectuarea controlului respectiv şi să întreprindă măsurile prevăzute de Codul contravenţional al Republicii Moldova în vederea acumulării probatoriului necesar soluţionării cazului. 33. Refuzul de a furniza informaţii, prezentarea informaţiilor neautentice sau împiedicarea accesului personalului Centrului, inclusiv: ofensarea, ameninţarea, împotrivirea, violenţa, atentarea la viaţă, sănătatea, demnitatea şi averea lor, precum şi a rudelor apropiate, în timpul îndeplinirii atribuţiilor de serviciu sau ca urmare a acesteia, atrage după sine răspunderea contravenţională/penală în conformitate cu legislaţia în vigoare. 34. Controlorul nu are dreptul: a) să verifice aspecte, care, conform legii, sînt supuse controlului de către alte organe de control, dacă acestea nu sînt legate nemijlocit de activitatea de prelucrare a datelor cu caracter personal; b) să solicite şi să examineze documente şi alte informaţii ce nu ţin de competenţa sa şi nu sînt relevante obiectului controlului; c) să primească sau să acorde recompense băneşti sau alte avantaje necuvenite; d) să încalce termenul de efectuare a controlului. Secţiunea 3. Drepturile şi obligaţiile entităţii supuse controlului 35. În procesul efectuării controlului, entitatea supusă controlului are următoarele drepturi: a) să primească o copie a delegaţiei de control, a deciziei de control şi să ia cunoştinţă de legitimaţia de serviciu a controlorului, inclusiv să primească o copie a actelor emise de judecătorul care a autorizat percheziţia sau intrarea în domiciliu; b) să conteste acţiunile controlorilor; c) să fie informată referitor la drepturile şi obligaţiile sale; d) să asiste personal sau prin reprezentant la procesul controlului; e) să prezinte explicaţii şi dovezi în favoarea sa; f) să ceară anexarea la actul de control a oricăror documente sau copii ale acestora, pe care entitatea supusă controlului are dreptul să aplice semnătura, explicaţii scrise, precum şi să ceară includerea menţiunilor cu privire la unele fapte sau drepturi/obligaţii; g) să ia cunoştinţă de actul de control şi procesul-verbal contravenţional întocmit în urma controlului şi să primească copii de pe acestea. 36. În procesul efectuării controlului, entitatea supusă controlului are următoarele obligaţii: a) să permită accesul controlorilor în încăperile sale de serviciu şi pe teritoriul amplasării sistemelor de evidenţă a datelor cu caracter personal, la datele cu caracter personal prelucrate, la echipamentul de prelucrare, la programe şi aplicaţii, la orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal (pe parcursul programului de lucru); b) să prezinte documentele şi informaţiile solicitate de controlor în vederea efectuării controlului; c) să creeze condiţii necesare şi, în caz de necesitate, să delege persoana responsabilă de politica de securitate a datelor cu caracter personal ori alţi angajaţi pentru asigurarea desfăşurării procesului de efectuare a controlului; d) să asigure prezenţa conducătorului (adjunctului) sau a reprezentanţilor subdiviziunii responsabile de aspectele ce ţin de control (în special persoana responsabilă de politica de securitate a datelor cu caracter personal) în cazul controalelor planificate. În cazul controalelor inopinate, să asigure prezenţa acestora imediat ce va fi posibil în virtutea circumstanţelor obiective; e) să coopereze cu controlorul şi să contribuie la executarea eficientă a controlului; f) să dea explicaţii în scris sau verbal şi să ofere informaţii relevante controlorilor, referitor la chestiunile abordate în cadrul controlului. 37. Orice constatare de fapt, care împiedică efectuarea controlului, stabilită de controlor în procesul controlului, cum ar fi: a) lipsa entităţii supuse controlului sau a reprezentantului acesteia la adresa indicată; b) împiedicarea accesului în încăperile şi pe teritoriul în care sînt amplasate sisteme de evidenţă a datelor cu caracter personal, la datele cu caracter personal prelucrate de operatori şi/sau persoanele împuternicite de către aceştia, la echipamentul de prelucrare, programe şi aplicaţii realizat în orice formă; c) refuzul de a furniza informaţiile sau documentele solicitate de angajaţii Centrului în procesul exercitării atribuţiilor de control, prezentarea unor informaţii neautentice sau incomplete, precum şi neprezentarea în termenul stabilit de lege a informaţiilor şi a documentelor solicitate, vor fi consemnate în actul de control şi procesul-verbal de constatare şi/sau în procesul verbal cu privire la contravenţie, semnat de controlor şi de reprezentantul entităţii supuse controlului. Faptul absenţei reprezentantului entităţii ori al refuzului său de a semna se consemnează în procesul-verbal şi se adevereşte prin semnătura a cel puţin 2 martori, indicîndu-se şi datele de identitate ale acestora (numele, prenumele, anul naşterii, domiciliul). 38. Procedura de control se încheie prin întocmirea de către controlor/i a actului de control, în termen de cel mult 10 zile lucrătoare de la data încheierii controlului (pentru controale planificate) şi de cel mult 3 zile lucrătoare de la data încheierii controlului inopinat. Excepţie de la această regulă va fi în cazurile, cînd în conformitate cu prevederile pct. 83-84 din Cerinţele aprobate prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010, rezultatele controlului sînt puse imediat la dispoziţia operatorului de date cu caracter personal. 39. Actul de control va conţine, în mod obligatoriu: a) denumirea organului de control, subdiviziunii, numele complet şi funcţiile controlorilor; b) denumirea completă şi IDNO a persoanei juridice, şi a întreprinzătorului individual supus/e controlului/nr. patentei de întreprinzător/numele, prenumele şi IDNP al persoanei fizice supuse controlului; c) tipul şi durata controlului; d) obiectul şi temeiul controlului; e) date privind aspectele, documentele (indiferent de suport) bunurile, încăperile, obiectele de altă natură care au fost supuse controlului, relevante scopului controlului; f) constatările (lipsa sau prezenţa încălcărilor) şi rezultatele controlului; g) referinţe exprese la normele actelor legislative şi normative care sînt încălcate de către entitatea supusă controlului. 40. La actul de control vor fi anexate: a) copiile documentelor examinate care confirmă/infirmă încălcarea legislaţiei; b) procesele-verbale întocmite în cadrul controlului; c) date privind durata controlului; d) explicaţiile scrise ale entităţii supuse controlului (şi persoanei responsabile de politica de securitate a datelor cu caracter personal, după caz). 41. Actul de control se va întocmi în două exemplare, se va numerota şi se va semna pe fiecare pagină de toţi controlorii care au efectuat controlul, de persoana controlată. Un exemplar al actului de control se înmînează contra unei confirmări scrise pe actul de control, reprezentantului entităţii supuse controlului. În cazul în care aceasta refuză semnarea şi recepţionarea actului de control, sub semnătura controlorului se va face menţiunea: „A refuzat să semneze şi/sau să primească actul”, iar actul de control va fi expediat persoanei în cauză prin scrisoare recomandată cu aviz de recepţie în termen de cel mult 10 zile lucrătoare de la data încheierii actului de control. Al doilea exemplar al actului de control se prezintă directorului Centrului sau persoanei care exercită interimatul funcţiei de director, cu propuneri privind decizia necesar a fi adoptată. 42. Entitatea supusă controlului are dreptul, în termen de 10 zile lucrătoare de la semnarea actului de control, să prezinte dezacordul faţă de actul de control, susţinut cu probe suplimentare, ce confirmă poziţia sa. 43. Controlorul va examina materialele prezentate şi, în caz de necesitate, va întocmi un act de control adiţional (fără a efectua rectificări la actul de bază). În actul de control adiţional se va indica actul de control de bază, iar în partea constatatoare se vor reflecta poziţiile modificate, cu respectarea procedurii de întocmire a actului de control, inclusiv celei de anexare a documentelor. 44. Dreptul de a prezenta dezacordul nu afectează şi nici nu limitează posibilitatea contestării actului de control în modul stabilit de lege. 45. Actul de control intră în vigoare la expirarea a 30 de zile lucrătoare de la data comunicării lui persoanei vizate în act dacă nu a fost contestat. 46. În cazul constatării faptei ilicite săvîrşită cu vinovăţie, care atentează la prevederile legale din domeniul protecţiei datelor cu caracter personal şi care este pasibilă de sancţiune contravenţională (cazurile prevăzute de art. 741-743 Cod contravenţional al Republicii Moldova), va fi dispus începerea procesului contravenţional. 47. În procesul-verbal cu privire la contravenţie întocmit în baza probatoriului acumulat în cadrul procesului contravenţional, se va consemna următoarele: 1) data (ziua, luna, anul) şi locul încheierii; 2) calitatea, numele şi prenumele agentului constatator, denumirea autorităţii pe care o reprezintă; 3) datele de identificare ale entităţii controlate şi/sau reprezentantului/ţilor legal/i a/i acesteia: a) în cazul persoanelor juridice - denumirea, sediul, IDNO, datele persoanei fizice care o reprezintă (numele, prenumele, funcţia, actul care-i stabileşte împuternicirile de reprezentare); b) în cazul persoanei fizice - numele, prenumele, IDNP, domiciliul, ocupaţia persoanei în a cărei privinţă a fost întocmit procesul-verbal, în conformitate cu buletinul de identitate al acesteia; 4) fapta contravenţională, locul şi timpul săvîrşirii ei, circumstanţele cauzei care au importanţă pentru stabilirea faptelor şi consecinţelor lor juridice; 5) încadrarea juridică a faptei, norma materială contravenţională şi indiciile calificative ale elementelor constitutive ale contravenţiei, evaluarea eventualelor pagube cauzate de contravenţie; 6) informaţii privind aducerea la cunoştinţa contravenientului a drepturilor şi obligaţiilor sale prevăzute la art. 384 Cod contravenţional; 7) dacă s-au făcut copii de pe documente sau înregistrări referitoare la operaţiunile de prelucrare a datelor cu caracter personal; 8) informaţia privind corpurile delicte, indicîndu-se datele proprietarului şi, după caz, măsurile luate pentru valorificarea sau conservarea lor; 9) obiecţiile şi probele pe care persoana în a cărei privinţă a fost întocmit procesul-verbal cu privire la contravenţie le aduce în apărarea sa, precum şi obiecţiile şi probele victimei; 10) motivele pentru care persoana în a cărei privinţă a fost întocmit procesul-verbal cu privire la contravenţie şi/sau a reprezentantului legal al acesteia nu a/au semnat procesul-verbal de constatare, cu indicarea datelor de identificare a martorilor (numele, prenumele, anul naşterii şi domiciliul) care atestă absenţa sau refuzul persoanei în a cărei privinţă a fost întocmit procesul-verbal cu privire la contravenţie; 11) În cazul în care persoana în a cărei privinţă a fost pornit procesul contravenţional sau victima nu cunoaşte limba procesului-verbal, se va asigura asistenţa unui interpret/traducător, datele lui consemnîndu-se în procesul-verbal. 48. În procesul-verbal nu se vor admite rectificări, adăugiri, alte modificări. În cazul necesităţii unor astfel de acţiuni, se va încheia un nou proces-verbal, în care se va face consemnarea respectivă. 49. În procesul-verbal se va indica instanţa de judecată unde va fi expediat pentru examinare dosarul contravenţional. 50. Procesele-verbale cu privire la contravenţii vor fi remise ulterior, împreună cu alte materiale şi probe, spre examinare în fond instanţei judecătoreşti aflate în raza teritorială de amplasare a Centrului. 51. Concomitent cu constatarea faptei contravenţionale, după caz, se va emite decizia de suspendare sau de încetare (Anexa nr. 9 la prezentul Regulament) a operaţiunilor de prelucrare a datelor cu caracter personal conform prevederilor art. 20 alin. (1) lit. e) al Legii nr. 133 din 8 iulie 2011 ori decizia privind rectificarea, blocarea sau distrugerea datelor neveridice sau obţinute ilicit, în conformitate cu prevederile art. 27 alin. (3) al aceluiaşi act legislativ. Copia procesului-verbal şi decizia se prezintă contra semnătură persoanei supuse controlului sau se expediază prin scrisoare recomandată cu aviz de recepţie. 52. Operatorul de date cu caracter personal sau persoana împuternicită sînt obligaţi să înlăture circumstanţele indicate în deciziile Centrului în termen de 30 de zile. La expirarea termenului stabilit, entitatea supusă controlului este obligată să prezinte Centrului informaţiile privind înlăturarea încălcărilor. 53. Deciziile indicate în pct. 51 vor stabili: a) încălcările admise de entitatea supusă controlului cu referinţe directe la prevederile legislaţiei în vigoare; b) instrucţiunile privind înlăturarea încălcărilor constatate şi aducere a prelucrărilor de date în conformitate cu prevederile legale, după caz; c) obligaţia entităţii de a executa şi a informa Centrul, în termen de 30 de zile calendaristice, din momentul recepţionării, privind îndeplinirea sau contestarea Deciziei în ordinea prevăzută de Legea contenciosului administrativ nr. 793 din 10 februarie 2000. 54. În caz dacă entitatea supusă controlului nu a înlăturat circumstanţele ce au servit temei pentru emiterea deciziei de suspendare a operaţiunilor de prelucrare a datelor cu caracter personal în termenul stabilit, Centrul va emite decizia de încetare a operaţiunilor de prelucrare a datelor cu caracter personal cu sau fără dispunerea blocării/distrugerii datelor cu caracter personal neveridice sau obţinute ilicit. 55. Entitatea supusă controlului este în drept să conteste în instanţa de judecată deciziile emise în rezultatul controlului, în corespundere cu prevederile Legii contenciosului administrativ nr. 793 din 10 februarie 2000. VI. Reguli specifice privind efectuarea verificării prealabile 56. În conformitate cu art. 23 alin. (1) al Legii nr. 133 din 8 iulie 2011, entităţile care intenţionează şi/sau operatorii care efectuează operaţiuni de prelucrare a datelor cu caracter personal destinate să servească unui scop, sînt obligaţi să notifice personal sau prin persoane împuternicite, Centrul. Prelucrarea datelor cu caracter personal fără autorizaţie sau în afara limitelor prevăzute de lege, este interzisă. 57. Dacă în baza notificării depuse de operatorul de date cu caracter personal sau persoanei împuternicite, Centrul constată că prelucrarea se încadrează în una din categoriile menţionate în pct. 59 al prevederilor prezentului Regulament, va dispune efectuarea unei verificări prealabile şi va anunţa operatorul sau persoana împuternicită de acesta în termen de 5 zile de la data depunerii notificării. 58. Verificarea va fi efectuată în baza informaţiilor prezentate în notificare de operator sau persoana împuternicită, ori cele solicitate suplimentar în scopul constatării: c) originii datelor cu caracter personal; d) tehnologiei de prelucrare automatizată utilizată; e) măsurilor de securitate a prelucrării datelor cu caracter personal aplicate. 59. Verificarea prealabilă va fi dispusă obligatoriu în cazurile în care sînt notificate operaţiuni de prelucrare a datelor cu caracter personal, care sînt susceptibile de a prezenta riscuri speciale pentru drepturile şi libertăţile persoanelor, în special: a) operaţiunile de prelucrare a datelor cu caracter personal ce fac obiectul transmiterii transfrontaliere; b) operaţiunile de prelucrare a categoriilor speciale de date, datelor genetice, biometrice şi a celor care permit localizarea geografică a persoanelor, inclusiv în scop de cercetare ştiinţifică; c) operaţiunile de prelucrare a datelor cu caracter personal prin mijloace electronice avînd ca scop evaluarea unor aspecte ale personalităţii, precum competenţa profesională, credibilitatea, comportamentul; d) operaţiunile de prelucrare a datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme de evidenţă a datelor cu caracter personal avînd ca scop adoptarea unor decizii automate individuale în legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor susceptibile de a trage la răspundere disciplinară, contravenţională sau penală a persoanelor fizice, efectuate de către persoanele de drept privat; e) operaţiunile de prelucrare a datelor cu caracter personal ale minorilor în cadrul activităţilor de prospectare comercială (activităţilor de marketing direct); f) operaţiunile de prelucrare a datelor cu caracter personal ale minorilor, colectate prin intermediul Internetului sau mesageriei electronice. 60. Verificarea prealabilă va fi efectuată sub următoarele aspecte: a) respectarea prevederilor legale referitoare la prelucrarea datelor cu caracter personal; b) necesitatea adoptării unor măsuri suplimentare de securitate. 61. Durata verificării prealabile nu va depăşi 45 de zile calendaristice. În caz de necesitate, ţinînd cont de complexitatea operaţiunii de prelucrare, termenul de verificare prealabilă poate fi prelungit cu încă 45 de zile calendaristice, fapt despre care este informat operatorul de date cu caracter personal sau persoana împuternicită de acesta. 62. În termen de 7 zile lucrătoare de la data finalizării verificării prealabile, Centrul va emite decizie privind: a) autorizarea începerii prelucrării datelor cu caracter personal, în condiţiile declarate în notificare; b) autorizarea începerii prelucrării datelor cu caracter personal, în alte condiţii decît cele declarate în notificare; c) refuzul autorizării prelucrării datelor cu caracter personal. 63. Decizia privind refuzul de a autoriza prelucrarea datelor cu caracter personal trebuie să conţină motivele ce justifică refuzul şi, după caz, modalitatea de înlăturare a circumstanţelor ce împiedică prelucrarea datelor respective (recomandări, avize, decizii, instrucţiuni obligatorii sau a altor măsuri de înlăturare a deficienţelor constatate, cu respectarea termenelor legale). 64. Refuzul de a autoriza prelucrarea datelor cu caracter personal nu exclude posibilitatea entităţii ce intenţionează prelucrarea sau operatorului de a notifica în mod repetat Centrul, după înlăturarea circumstanţelor ce au împiedicat prelucrarea datelor respective. 65. Deciziile emise după finalizarea verificării prealabile vor fi semnate de directorul Centrului sau persoana care exercită interimatul funcţiei de director. 66. Deciziile pot fi contestate în ordinea prevăzută de Legea contenciosului administrativ nr. 793 din 10 februarie 2000. VII. Registrul controalelor 67. Registrul controalelor este instituit şi administrat în formă automatizată de Centru în modul stabilit de legislaţia în vigoare. 68. Registrul va conţine următoarele date: a) denumirea entităţii supuse controlului; b) numărul şi data emiterii deciziei de control sau verificării prealabile; c) numărul şi data emiterii delegaţiei de control, precum şi numele complet al controlorilor; d) perioada efectuării controlului; e) tipul controlului; f) actele întocmite în urma controlului (actul de control, decizia de suspendare/încetare a operaţiunilor de prelucrare a datelor cu caracter personal, procesul-verbal cu privire la contravenţie); g) informaţii privind executarea deciziilor emise în urma controlului sau a sancţiunii contravenţionale aplicate de instanţa de judecată. 69. Datele menţionate la subpct. a)-e) ale pct. 68 sînt incluse obligatoriu în Registrul controalelor în termen de cel mult 5 zile lucrătoare de la data iniţierii controlului. 70. În termen de cel mult 5 zile lucrătoare de la data introducerii datelor în Registrul controalelor, Centrul va transmite aceste date autorităţii administraţiei publice centrale de monitorizare a controalelor (Cancelaria de Stat) în vederea introducerii lor în Registrul de stat al controalelor. 71. Prin derogare de la prevederile pct. 70 în cazul în care entitatea supusă controlului nu practică activitate de întreprinzător, datele din Registrul controalelor nu se transmit autorităţii administraţiei publice centrale de monitorizare a controalelor. VIII. Responsabilităţi 72. Persoanele abilitate cu funcţii de control al legalităţii prelucrărilor de date cu caracter personal sînt obligate să nu divulge informaţia cu accesibilitate limitată la care au primit acces în legătură cu exercitarea atribuţiilor funcţionale, inclusiv după încetarea activităţii în cadrul Centrului. 73. Persoanele vinovate de nerespectarea prevederilor prezentului Regulament pot fi trase la răspundere în conformitate cu legislaţia civilă, contravenţională sau penală. 74. Sistemul informaţional de evidenţă a controalelor “Registrul controalelor” va fi gestionat, pe toată perioada ciclului de viaţă, în conformitate cu prevederile stabilite de Legea cu privire la registre nr. 71 din 22 martie 2007 şi Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010. anexa nr.1 anexa nr.2 anexa nr.3 anexa nr.4 anexa nr.5 anexa nr.6 anexa nr.7 anexa nr.8 anexa nr.9