Статья 1. Цель закона

Целью настоящего закона является обеспечение защиты прав и свобод личности при обработке ее персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 2. Область применения

(1) Настоящим законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой юридическими и физическими лицами с использованием автоматизированных средств или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с исполь­зованием автоматизированных средств.

(2) Действие настоящего закона распространяется на отношения, возникающие при:

а)  обработке персональных данных юридическими или физическими лицами, находящимися вне тер­ритории Республики Молдова, с использованием в процессе обработки средств, находящихся на территории Республики Молдова;

b) обработке персональных данных на территории Республики Молдова в рамках деятельности, осуществляемой уполномоченным на то учреждением;

c) обработке персональных данных, выполняемой в рамках действий по предупреждению и расследованию преступлений или других действий, осуществляемых в рамках уголовного процесса в соответствии с законом.

(3) Действие настоящего закона не распространяется на отношения, возникающие при:

а) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

b) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 3. Правовая база

Законодательство в области обработки персональных данных состоит из Конституции Республики Молдова, Конвенции о защите личности в связи с автоматической обработкой персональных данных, Дополнительного протокола к Конвенции, других международных соглашений, стороной которых является Республика Молдова, настоящего закона и других нормативных актов.

Статья 4. Основные понятия

В настоящем законе используются следующие основные понятия:

персональные данные – данные о физическом лице, позволяющие прямо или косвенно идентифицировать его;

субъект персональных данных – физическое лицо, являющееся носителем персональных данных;

держатель персональных данных  – юридическое или физическое лицо, организующее и осуществляющее обработку персональных данных, а также определяющее цели, содержание и средства обработки персональных данных;

обработка персональных данных – любая операция или комплекс операций, выполняемых с персональ­ными данными при сборе, регистрации, организации, хранении, уточнении, адаптации, изменении, удалении, консультировании, предоставлении доступа, исполь­зовании, передаче, распространении, блокировании или уничтожении;

передача персональных данных – предоставление персональных данных держателем таких данных в распоряжение третьих лиц;

согласие субъекта персональных данных – любое волеизъявление, свободное, безоговорочное, конкретное и осознанное, посредством которого субъект позволяет провести обработку персональных данных.

Статья 5. Характеристика персональных данных

Персональные данные, являющиеся предметом обработки:

a) должны быть получены на законных основаниях и обработаны надлежащим образом;

b) должны накапливаться для точно определенных целей и не использоваться каким-либо образом, несовместимым с этими целями;

c) должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;

d) должны быть точными и в случае необходимости своевременно обновляться;

e) должны храниться в форме, позволяющей идентифицировать субъекта в той мере, в какой требуют цели, для которых эти данные накапливаются.

Статья 6. Обработка персональных данных

(1) Обработка персональных данных осуществляется с безоговорочного согласия субъекта персональных данных, за исключением случаев, предусмотренных законом. 

(2) Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Отзыв согласия не может иметь обратной силы.

(3) Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

а) фамилию, имя, отчество, адрес субъекта персональных данных, государственный идентифи­кационный номер (IDNP), номер документа, удосто­веряющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;

b) наименование (фамилия, имя, отчество) и адрес держателя персональных данных, получающего согласие;

с) цель обработки персональных данных;

d) перечень персональных данных, на обработку которых дается согласие;

е) перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки персональных данных, используемых держателем таких данных;

f) срок, в течение которого действует согласие, а также порядок отзыва согласия.

(4) В случае недееспособности субъекта персо­нальных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

(5) В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

(6) Не требуется согласия субъекта персональных данных в случаях, если:

a) персональные данные собираются для осущест­вления функций, относящихся к сфере компетенции органов публичной власти;

b) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

c) обработка персональных данных осуществляется для статистических или иных исследовательских целей при условии обязательного обезличивания персо­нальных данных;

d) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

e) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электронной связи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услуг связи.

Статья 7. Обработка особых категорий персональных  данных

(1) Персональные данные, касающиеся расовой или этнической принадлежности, политических, религиозных убеждений, персональные данные о состоянии здоровья или интимной жизни, а также персональные данные, касающиеся привлечения лица к уголовной ответственности, составляют особую категорию персональных данных.

(2) Обработка особых категорий персональных данных может осуществляться только при наличии письменного согласия субъекта персональных данных.

(3) В случае неполной или ограниченной дееспо­собности лица обработка особой категории его персо­нальных данных осуществляется только при наличии письменного согласия его законного представителя.

(4) Без согласия субъекта персональных данных обработка особой категории персональных данных допускается в случаях, если:

а) персональные данные являются общедоступными;

b) обработка персональных данных необходима для защиты жизни, физической целостности или здоровья данного или другого лица;

с) обработка персональных данных необходима в целях превентивной медицины, для установления медицинского диагноза, назначения лечения при условии, что обработка персональных данных осуществляется медицинским работником, обязанным хранить профессиональную тайну, или другим лицом, имеющим аналогичные обязанности по соблюдению тайны;

d) обработка персональных данных необходима в связи с осуществлением правосудия;

е) законом прямо предусмотрена эта необходимость в целях обеспечения безопасности государства при условии, что обработка осуществляется с соблюдением прав и основных свобод лица, предусмотренных настоящим законом.

Статья 8. Общедоступные источники персональных  данных

(1) В целях информационного обеспечения населения могут создаваться общедоступные источники персональных данных (в том числе справочники, телефонные и адресные книги, другие подобные информационные источники), в которые могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом.

(2) Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению судебной инстанции или иных уполномоченных органов.

(3) В случае, если персональные данные получены держателем таких данных из открытых источников либо иных общедоступных баз персональных данных, держатель соответствующих данных обязан информировать субъекта персональных данных о содержании, природе и целях их использования.

(4) Использование общедоступных персональных данных может быть запрещено:

а) по письменному обращению субъекта персональ­ных данных;

b) по решению правоохранительных органов.

Статья 9. Хранение и изменение персональных данных

(1) Условия и сроки хранения персональных данных устанавливаются законом с учетом целей их сбора и при соблюдении прав и основных свобод субъектов персональных данных. По истечении срока хранения персональные данные подлежат уничтожению в установленном законом порядке.

(2) Персональные данные из государственных регистров с момента прекращения их использования могут оставаться на постоянном хранении, приобретая статус архивного документа.

(3) Держатель персональных данных обязан вносить изменения в имеющиеся у него персональные данные по инициативе субъекта персональных данных при условии документального подтверждения досто­верности персональных данных или по собственной инициативе в предусмотренных законом случаях.

(4) После завершения операций по обработке персональных данных, если заинтересованное лицо не изъявило в письменной форме свое желание на дальнейшую обработку данных в других целях, держатель персональных данных обязан их уничтожить или с согласия лица передать другому держателю.

Статья 10. Права субъекта персональных данных

(1) Любой субъект персональных данных в процессе обработки персональных данных имеет право:

a) на доступ к своим персональным данным, на получение сведений о держателе персональных данных, о месте его нахождения, о цели и личности держателя;

b) запрашивать информацию о своих персональных данных, подвергшихся обработке, об источнике получения этих данных, а также о том, куда они были переданы или куда их планируется передать;

c) требовать от держателя персональных данных уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

d) на получение информации, содержащей подтверждение факта обработки персональных данных держателем таких данных, цели и способы такой обработки, дату внесения последних исправлений в персональные данные субъекта персональных данных, а также сведений о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;

e) возражать против обработки своих персональных данных, если они будут использоваться в коммерческих целях;

f) обжаловать действия или бездействие держателя персональных данных в уполномоченный орган по защите прав субъектов персональных данных или в судебную инстанцию;

g) на защиту своих прав и законных интересов, в том числе на возмещение убытков и(или) компенсацию морального вреда, в судебной инстанции.

(2) Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка.

Статья 11. Орган контроля в области обработки

                     персональных данных

(1) Контроль за соответствием обработки персональных данных требованиям настоящего закона осуществляется Национальным центром по защите персональных данных, действующим на основе беспристрастности и независимости от органов публичной власти.

(2) Структура, штатное расписание, полномочия Национального центра по защите персональных данных регламентируются Положением, утвержденным Парламентом.

(3) При Национальном центре по защите персональных данных создается на общественных началах Консультативный совет. В своей деятельности Консультативный совет руководствуется положениями закона.

(4) Национальный центр по защите персональных данных ежегодно разрабатывает и утверждает предварительный проект бюджета центра и представляет его Правительству для включения при сохранении административной независимости в государственный бюджет.

(5) Национальный центр по защите персональных данных осуществляет следующие полномочия:

a) следит за соблюдением законодательства о защите информации и контролирует его применение, в особенности в том, что касается права на информацию, доступа, исправления, оспаривания или исключения сведений;

b) не затрагивая сферы компетенции других органов, дает инструкции, необходимые для приведения обработки персональных данных в соответствие с принципами настоящего закона;

c) рассматривает обращения субъектов персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующие решения;

d) предоставляет субъектам персональных данных информацию об их правах касательно обработки их персональных данных;

e) запрашивает у физических и юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получает такую информацию;

f) осуществляет проверку сведений об обработке персональных данных или привлекает для осуществления такой проверки иные органы публичной власти в пределах их полномочий;

g) требует от держателя персональных данных уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

h) принимает в установленном законом порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего закона;

i) обращается в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представляет интересы субъектов персональных данных в судебных инстанциях;

j) ведет регистр держателей персональных данных;

k) получает от держателей персональных данных помощь и информацию, необходимую для исполнения своих функций;

l) составляет в установленном законом порядке протоколы о нарушении настоящего закона;

m) направляет в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о начале уголовного преследования по признакам преступлений, связанных с нарушением прав субъектов персональных данных в соответствии с подведомственностью;

n) информирует органы публичной власти, а также субъектов персональных данных по их обращениям и запросам о положении дел в области защиты прав субъектов персональных данных;

o) периодически информирует учреждения и общество о своей деятельности, об основных вопросах и проблемах в области защиты прав личности;

p) выполняет иные определенные законом функции.

(6) Национальный центр по защите персональных данных ежегодно направляет отчет о своей деятельности Парламенту, Президенту Республики Молдова, Правительству. Указанный отчет подлежит опубликованию в средствах массовой информации.

(7) В отношении персональных данных, ставших известными Национальному центру по защите персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться их конфиденциальность.

Статья 12. Регистр держателей персональных данных

(1) В целях регистрации держателей персональных данных Национальный центр по защите персональных данных создает и ведет регистр держателей персональных данных. Регистр держателей персональных данных должен содержать:

a) информацию о базах данных, содержащих персональные данные;

b) наименование или имя держателя персональных данных;

c) цель и способ сбора и использования персональных данных;

d) правовой режим и сроки хранения персональных данных;

e) категории и группы субъектов персональных данных;

f) источники получения персональных данных;

g) лиц, ответственных за обработку персональных данных;

h) меры безопасности и обеспечения конфиденциальности.

(2) Порядок формирования регистров держателей персональных данных устанавливается законом.

(3) Держатели персональных данных обязаны зарегистрироваться в Национальном центре по защите персональных данных.

Статья 13. Конфиденциальность персональных данных

(1) Держателями персональных данных и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных,  за  исключением  случаев,  предусмотренных  частью (3) настоящей статьи.

(2) С момента смерти субъекта персональных данных с согласия его наследников персональные данные о нем используются в архивных или иных определенных законом целях.

(3) Обеспечение конфиденциальности персональных данных не требуется:

a) при подаче заявления субъектом персональных данных;

b) в случае обезличивания персональных данных;

c) в отношении общедоступных персональных данных;

d) по истечении 100-летнего срока хранения персональных данных, исчисляемого с момента их внесения в базу данных.

Статья 14. Безопасность обработки персональных  данных

(1) Держатель персональных данных при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

(2) Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются Правительством.

(3) Контроль за выполнением требований, установленных Правительством в соответствии с частью (2) настоящей статьи, осуществляется Национальным центром по защите персональных данных.

Статья 15. Обезличивание персональных данных

(1) В научных, статистических, социологических, медицинских и других целях держатель персональных данных обезличивает их путем вывода из персональных данных их части, позволяющей идентифицировать физическое лицо, придавая им форму анонимных сведений, которые не могут связываться с идентифицированной или идентифицируемой личностью.

(2) В случае обезличивания режим конфиденциальности, установленный для соответствующих персональных данных, аннулируется.

Статья 16. Трансграничная передача персональных  данных

(1) Настоящая статья применяется в случае передачи через национальную границу, независимо от используемых средств, персональных данных, которые составляют предмет обработки или накапливаются с целью подвергнуть их такой обработке.

(2) Персональные данные, находящиеся на территории Республики Молдова и предназначенные для передачи другому государству, защищаются в соответствии с настоящим законом.

(3) Трансграничная передача персональных данных, которые являются предметом обработки или подлежат обработке после передачи, может осуществляться в случае, когда соответствующим государством обеспечивается адекватный уровень защиты прав субъектов персональных данных и данных, предназначенных для передачи, а также в других случаях в соответствии с международными соглашениями, стороной которых является Республика Молдова.

(4) Уровень защиты определяется Национальным центром по защите персональных данных с учетом условий, в которых осуществляется передача данных, в частности, природы данных, цели передачи и обработки данных, государства конечного назначения, законодательства государства, запрашивающего данные.

(5) В случае, когда Национальный центр по защите персональных данных устанавливает, что уровень защиты, предоставляемый государством назначения, является неудовлетворительным, он может распорядиться о запрещении передачи данных.

(6) Передача персональных данных в государства, не обеспечивающие адекватный уровень защиты, может осуществляться только в случаях:

a) наличия письменного разрешения субъекта персональных данных;

b) необходимости заключения или исполнения соглашения или договора между субъектом персональных данных и их держателем либо между держателем таких данных и третьим лицом в интересах субъекта персональных данных;

c) если это необходимо для защиты прав, свобод или интересов субъекта персональных данных;

d) когда персональные данные являются общедоступными.

Статья 17. Ответственность за нарушение настоящего закона

(1) Лица, виновные в нарушении настоящего закона, несут гражданскую, административную или уголовную ответственность.

(2) Наказание за нарушение настоящего закона определяется компетентной судебной инстанцией.

Статья 18

(1) Парламент в трехмесячный срок со дня принятия настоящего закона утверждает Положение о деятель­ности Национального центра по защите персо­нальных данных.

(2) Правительству в трехмесячный срок:

a) представить Парламенту предложения по приве­дению действующего законодательства в соответствие с настоящим законом;

b) привести свои нормативные акты в соответствие с настоящим законом;

c) обеспечить приведение в соответствие с настоящим законом нормативных актов органов центрального публичного управления.