LPM133/2011
Внутренний номер:  340495
Varianta în limba de stat
Карточка документа

Республика Молдова
ПАРЛАМЕНТ
ЗАКОН Nr. 133
от  08.07.2011
о защите персональных данных
Опубликован : 14.10.2011 в Monitorul Oficial Nr. 170-175     статья № : 492     Дата вступления в силу : 14.04.2012
    ИЗМЕНЕН
    ЗП271 от 23.11.18, МО441-447/30.11.18 ст.717; в силу с 01.12.18
    ЗП238 от 08.11.18, МО441-447/30.11.18 ст.709
    ЗП172 от 27.07.18, МО321-332/24.08.18 ст.529; в силу с 24.08.18
    ЗП143 от 19.07.18, MO309-320/17.08.18 ст.482; в силу с 10.11.18
    ЗП74 от 26.04.18, МО235-244/29.06.18 ст.368
    ЗП185 от 21.09.17, MO371-382/27.10.17 ст.632; в силу с 27.10.17
    ЗП134 от 17.06.16, МО245-246/30.07.16 ст.515; в силу с 01.08.16



    Настоящий закон создает необходимую правовую основу для применения Директивы 95/46/ЕС Европейского Парламента и Совета от 24 октября 1995 года о защите прав физических лиц применительно к обработке персональных данных и о свободном движении этих данных.
    Парламент принимает настоящий органический закон.
Глава I
Общие положения
    Статья 1. Цель закона
    Целью настоящего закона является обеспечение защиты основных прав и свобод физического лица при обработке его персональных данных, в особенности права на неприкосновенность интимной, семейной и частной жизни.
    Статья 2. Область применения
    (1) Настоящий закон регулирует правоотношения, возникающие в процессе обработки персональных данных полностью или частично автоматизированными средствами, а также обработки средствами, отличными от автоматизированных, персональных данных, составляющих часть системы учета или предназначенных для введения в такую систему.
    (2) Действие настоящего закона распространяется на:
    а)  обработку персональных данных в рамках деятельности контролеров, находящихся на территории Республики Молдова;
    b) обработку персональных данных в дипломатических представительствах и консульских учреждениях Республики Молдова, а также иными контролерами, находящимися вне территории страны, но на территории, где на основании международного публичного права применяется внутреннее законодательство Республики Молдова;
    с) обработку персональных данных контролерами, находящимися вне территории Республики Молдова, с использованием средств, находящихся на территории Республики Молдова, за исключением случая, когда эти средства используются не иначе как в целях транзитной передачи через территорию Республики Молдова персональных данных, являющихся предметом соответствующей обработки;
    d) обработку персональных данных, выполняемую в рамках действий по предотвращению и расследованию преступлений, исполнения обвинительных приговоров и иных действий в соответствии с законом в рамках уголовного судопроизводства и производства о правонарушениях.
    (3) Положения настоящего закона распространяются на обработчика, не исключая права подачи судебного иска против контролера.
    (4) Действие настоящего закона не распространяется на:
    а) обработку персональных данных контролером исключительно для личных или семейных нужд, если при этом не нарушаются права субъектов персональных данных;
    b) обработку персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, исключая предусмотренные пунктом d) части (2);
    с) обработку и трансграничную передачу персональных данных, связанных с виновными в совершении преступлений геноцида, военных преступлений и преступлений против человечества или с жертвами таких преступлений.
    Статья 3. Основные понятия
    Термины и выражения, используемые в настоящем законе, имеют следующее значение:
    персональные данные – любая информация, связанная  с идентифицированным или идентифицируемым физическим лицом (субъектом персональных данных). Идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер либо на один или несколько факторов, специфичных для его физической, физиологической, психической, экономической, культурной или социальной идентичности;
особые категории персональных данных – данные, раскрывающие расовое или этническое происхождение лица, политические убеждения, религиозные или философские воззрения, социальную принадлежность, данные, касающиеся состояния здоровья или половой жизни, а также данные, касающиеся уголовного наказания, принудительных процессуальных мер или санкций за правонарушения;
    обработка персональных данных – любая операция или набор операций, выполняемых над персональными данными, как автоматизированными средствами, так и без таковых, такие как сбор, запись, организация, хранение, восстановление, адаптация или изменение, извлечение, консультирование,  использование, раскрытие  посредством  передачи, распространения или предоставления иного доступа, группировка или комбинирование, блокирование, стирание или уничтожение;
    система учета персональных данных – любой структурированный набор личных данных, являющихся доступными в соответствии с определенными критериями, централизованный, децентрализованный или распределенный на функциональной или географической основе;
    контролер – физическое лицо или юридическое лицо публичного или частного права, включая орган публичной власти, любое иное учреждение или организацию, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, прямо предусмотренные действующим законодательством;
    обработчик – физическое лицо или юридическое лицо публичного или частного права, включая орган публичной власти и его территориальные  подразделения, которое от имени или в интересах контролера обрабатывает персональные данные по его указанию;
    третья сторона – физическое лицо или юридическое лицо публичного или частного права, кроме субъекта персональных данных, контролера, обработчика и лиц, которые уполномочены обрабатывать персональные данные с прямой санкции контролера или обработчика;
    получатель – любое физическое лицо или юридическое лицо публичного или частного права, включая орган публичной власти и его территориальные подразделения, которому раскрываются персональные данные, независимо от того, является ли оно третьей стороной. Не считаются получателями органы национальной обороны, государственной безопасности и общественного порядка, органы уголовного преследования и судебные инстанции, которым персональные данные передаются в рамках осуществления установленных законом полномочий;
    согласие субъекта персональных данных – любое волеизъявление, свободное, конкретное и безоговорочное, данное в письменной или электронной – с соблюдением требований к электронным документам – форме, которым субъект персональных данных соглашается на обработку касающихся его персональных данных;
    обезличивание персональных данных – изменение персональных данных так, что детали личного или материального положения более не дают возможности отождествить персональные данные с идентифицированным или идентифицируемым лицом либо позволяют сделать это лишь путем расследования, требующего непропорциональных затрат времени, средств и труда.
Глава II
Основные условия обработки, хранения
и использования персональных данных
    Статья 4. Характеристика персональных данных
    (1) Персональные данные, являющиеся предметом обработки, должны:
    a) обрабатываться корректно и в соответствии с положениями закона;
    b) собираться для объявленных, явных и законных целей и в дальнейшем не обрабатываться каким-либо образом, несовместимым с этими целями. Дальнейшая обработка персональных данных в статистических целях или в целях исторических или научных исследований не является несовместимой с целью сбора при условии, что она осуществляется с соблюдением положений настоящего закона, в том числе касающихся уведомления Национального центра по защите персональных данных, а также с соблюдением гарантий при обработке персональных данных, предусмотренных нормами, регулирующими статистическую деятельность, историческое и научное исследование;
    c) быть адекватными, относящимися к делу и не быть избыточными в отношении целей, для которых они собираются и/или в дальнейшем обрабатываются;
    d) быть точными и – если необходимо – актуализироваться. Неточные или неполные данные, применительно к целям, для которых они собирались или для которых они  впоследствии обрабатывались, должны удаляться или исправляться;
    e) храниться в форме, позволяющей идентификацию субъектов персональных данных не долее, чем это необходимо для целей, для которых данные собирались и впоследствии обрабатывались. Хранение персональных данных более длительные сроки в статистических целях или в целях исторических или научных исследований производится с соблюдением гарантий при обработке персональных данных, предусмотренных нормами, регулирующими эти области, и только в течение срока, необходимого для достижения этих целей.
    (2) Соблюдение и обеспечение выполнения положений части (1) является обязанностью контролера.
    Статья 5. Обработка персональных данных
    (1) Обработка персональных данных осуществляется с согласия субъекта персональных данных. 
    (2) Согласие на обработку персональных данных может быть отозвано в любой момент субъектом персональных данных. Отзыв согласия не может иметь обратной силы.
    (3) В случае взрослого или несовершеннолетнего субъекта персональных данных, защищенного судебной мерой охраны в виде опеки, согласие на обработку персональных данных дает в письменной форме законный представитель в случае несовершеннолетнего, или опекун – в случае взрослого субъекта.
    [Ст.5 ч.(3) в редакции ЗП238 от 08.11.18, МО441-447/30.11.18 ст.709]
    (31) В случае взрослого субъекта персональных данных, защищенного судебной мерой охраны в виде временной охраны или попечительства, согласие на обработку персональных данных дает в письменной форме охраняемое лицо. Если состояние охраняемого лица не позволяет ему принять самостоятельно решение относительно обработки персональных данных, при выражении согласия временный защитник или попечитель оказывает охраняемому лицу помощь, скрепляя заявление о согласии своей подписью в соответствии с законом.
    [Ст.5 ч.(31) введена ЗП238 от 08.11.18, МО441-447/30.11.18 ст.709]
    (4) В случае смерти субъекта персональных данных согласие на обработку персональных данных дают в письменной форме его наследники, если такое согласие не было дано субъектом персональных данных при его жизни.
    (5) Не требуется согласия субъекта персональных данных в случае, если обработка персональных данных необходима:
    a) для исполнения договора, в котором субъект персональных данных является стороной, или для принятия мер до заключения договора по его просьбе;
    b) для выполнения предусмотренного законом обязательства контролера;
    c) для защиты жизни, физической целостности или здоровья субъекта персональных данных;
    d) для выполнения задач, имеющих общественное значение или вытекающих из властных полномочий органа публичной власти, возложенных на контролера или третью сторону, которой персональные данные раскрыты;
    e) в целях обеспечения законных интересов контролера или третьей стороны, которой раскрыты персональные данные, кроме случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта персональных данных;
    f) для статистических целей или целей исторических или научных исследований, при условии, что персональные данные останутся анонимными в течение всего периода обработки.
    g) для обмена данными в соответствии с действующим законодательством об обмене данными и интероперабельности.
    [Ст.5 ч.(5), пкт.g) введен ЗП143 от 19.07.18, MO309-320/17.08.18 ст.482; в силу с 10.11.18]
    Статья 6. Обработка особых категорий 
                     персональных данных
    (1) Обработка особых категорий персональных данных запрещается, за исключением случаев, когда:
    a) субъект персональных данных дал свое согласие. В случае субъекта персональных данных, в отношении которого установлена судебная мера охраны в виде опеки, обработка особых категорий персональных данных осуществляется только при наличии письменного согласия опекуна;
    [Ст.6 ч.(1), пкт.а) в редакции ЗП238 от 08.11.18, МО441-447/30.11.18 ст.709]
    b) обработка необходима в целях исполнения обязательств или особых прав контролера в сфере трудового права, при условии, что она осуществляется с соблюдением предусмотренных законом гарантий, а также с учетом того, что любое раскрытие третьим сторонам персональных данных, обработанных для этих целей, может проводиться лишь при наличии соответствующего законного обязательства контролера;
    с) обработка необходима для защиты жизни, физической целостности или здоровья субъекта персональных данных либо иного лица, если субъект персональных данных физически или юридически неспособен дать свое согласие;
    d) обработка осуществляется в ходе законной деятельности общественными объединениями, партиями и другими общественно-политическими организациями, профессиональными союзами, объединениями работодателей, философскими или религиозными организациями, некоммерческими кооперативными организациями, при условии, что обработка относится исключительно к членам таковых или лицам, имеющим регулярные контакты с таковыми в связи с их целями, и что данные не раскрываются третьим сторонам без согласия субъекта персональных данных;
    e) обработка относится к данным, добровольно и явно сделанным общедоступными субъектом персональных данных;
    f) обработка необходима для определения, осуществления или защиты права субъекта персональных данных в суде;  
    g) обработка необходима в целях обеспечения безопасности государства, при условии, что она осуществляется с соблюдением прав субъекта персональных данных и других гарантий, предусмотренных настоящим законом.
    (2) По обоснованным причинам Национальный центр по защите персональных данных может распорядиться о запрете обработки особых категорий персональных данных, даже при наличии согласия субъекта персональных данных, которое не отозвано, при условии, что запрет не устранен одним из случаев, предусмотренных пунктами b) – g) части (1).
    Статья 7. Обработка персональных данных, 
                      касающихся состояния здоровья
    (1) В отступление от положений статьи 6 обработка персональных данных, касающихся состояния здоровья, разрешается в случае, если:
    а) обработка требуется в целях превентивной медицины, установления медицинского диагноза, предоставления медицинского обслуживания или лечения субъекта персональных данных либо управления службами здравоохранения, действующими в интересах субъекта персональных данных;
    b) обработка требуется в целях охраны общественного здоровья.
    (2) Медицинские работники, медико-санитарные учреждения и их медицинский персонал могут обрабатывать персональные данные, касающиеся состояния здоровья, без разрешения Национального центра по защите персональных данных, только если обработка необходима для защиты жизни, физической целостности или здоровья субъекта персональных данных. В случае, когда эти цели касаются иных лиц или общества в целом и субъект персональных данных не дал недвусмысленного письменного согласия, должно быть получено в установленном законом порядке разрешение Центра.
    (3) Персональные данные, касающиеся состояния здоровья, могут обрабатываться в целях, определенных в части (1), медицинским работником или под наблюдением медицинского работника, обязанного хранить профессиональную тайну, либо иным лицом или под наблюдением иного лица, имеющего эквивалентные обязательства в отношении профессиональной тайны.
    (4) Персональные данные, касающиеся состояния здоровья, собираются от субъекта персональных данных или тогда, когда в этом есть необходимость в соответствии с частью (1).
    Статья 8. Обработка персональных данных, 
                      касающихся уголовного наказания, 
                      принудительных процессуальных мер 
                      или санкций за правонарушения
    (1) Обработка персональных данных, касающихся уголовного наказания, принудительных процессуальных мер или санкций за правонарушения, может осуществляться только органами публичной власти или под их контролем в пределах предоставленных полномочий и в соответствии с условиями, установленными законами, регулирующими эти области.
    (2) Регистр криминалистической и криминологической информации ведется Министерством внутренних дел.
    Статья 9. Обработка персональных данных 
                      с функцией идентификатора
    Обработка государственного идентификационного номера (IDNP) физического лица, отпечатков пальцев или иных персональных данных, выполняющих функцию идентификатора общего назначения, может осуществляться при одном из следующих условий:
    а) субъект персональных данных дал свое согласие;
    b)обработка прямо предусмотрена законода-тельством.
    Статья 10. Обработка персональных данных  
                        и свобода выражения
    Положения статей 5, 6 и 8 не применяются в случаях обработки персональных данных, осуществляемой исключительно в целях журналистики или в целях художественного или литературного творчества, если обработка относится к данным, добровольно и явно сделанным общедоступными субъектом персональных данных либо тесно связанным со статусом публичной фигуры субъекта персональных данных или публичным характером действий, в которые он вовлечен, в соответствии с Законом о свободе выражения мнения.
    Статья 11. Хранение и использование 
                        персональных данных по завершении 
                        операций по их обработке
    (1) Условия и сроки хранения персональных данных устанавливаются законодательством с учетом положений пункта е) части (1) статьи 4. По истечении срока хранения персональные данные подлежат уничтожению в установленном законом порядке.
    (2) Персональные данные из государственных регистров с момента прекращения их использования могут оставаться на хранении, приобретая статус архивного документа.
    (3) По завершении операций по обработке персональных данных, если субъект персональных данных не дал согласия на использование в иных целях или на дальнейшую обработку, персональные данные должны быть:
    a) уничтожены;
    b) переданы другому контролеру, при условии, что первичный контролер гарантирует, что дальнейшая обработка имеет цели, аналогичные тем, для которых осуществлялась первичная обработка;
    с) преобразованы в анонимные данные и храниться исключительно для статистических целей или целей исторических или научных исследований.
    (4) С момента смерти субъекта персональных данных его персональные данные с согласия наследников могут использоваться в архивных или в иных предусмотренных законом целях.
Глава III
Права субъекта персональных данных
    Статья 12. Информирование субъекта 
                        персональных данных
    (1) Если персональные данные собираются непосредственно от субъекта персональных данных, контролер или обработчик обязаны предоставить, кроме случаев, когда он уже обладает ею, следующую информацию:
    1) личность контролера или, если таковой имеется, обработчика;
    2) цель обработки собранных данных;
    3) дополнительную информацию, такую как:
    а) получатели или категории получателей персональных данных;
    b) наличие прав доступа, вмешательства в отношении данных и возражения, а также условия осуществления этих прав;
    c) являются ли ответы на вопросы, с помощью которых собираются данные, обязательными или добровольными, а также возможные последствия отказа от ответа.
    (2) Если данные собираются не непосредственно от субъекта персональных данных, контролер или обработчик обязаны на момент сбора данных или в случае, когда предполагается раскрытие данных третьей стороне, не позднее времени, когда данные впервые раскрываются, предоставить субъекту персональных данных информацию о категориях собираемых или раскрываемых персональных данных, а также информацию, указанную  в  части (1), кроме подпункта с) пункта 3).
    (3) Положения части (2) не применяются в случае, когда:
    а) субъект персональных данных обладает соответствующей информацией;
    b) обработка персональных данных проводится в статистических целях или в целях исторических или научных исследований;
    c) предоставление информации оказывается невозможным или требует непропорциональных усилий в сравнении с законным интересом, который может быть ущемлен;
    d) документирование или раскрытие персональных данных прямо предусматриваются законодательством.
    Статья 13. Право на доступ к персональным данным
    (1) Любой субъект персональных данных имеет право получать от контролера по запросу без задержки и безвозмездно:
    а) подтверждение того, были ли или нет обработаны относящиеся к нему данные, а также информацию о целях обработки, категориях использованных данных, получателях или категориях получателей, которым раскрываются  данные;
    b) сообщение персональных данных, являющихся предметом обработки, а также любой имеющейся информации об их происхождении, в доступной форме и в порядке, не требующем дополнительного оборудования для понимания;
    с) сведения о принципах действия механизма, используемого в любой автоматизированной обработке данных, относящихся к субъекту персональных данных;
    d) сведения о юридических последствиях для субъекта персональных данных, наступающих в результате обработки данных;
    е) сведения о порядке осуществления права вмешательства в отношении персональных данных.
    (2) Когда персональные данные о состоянии здоровья обрабатываются в целях научных исследований, если отсутствует риск ущемления прав субъекта персональных данных и если данные не используются для принятия решений или мер, касающихся конкретного лица, сообщение сведений, указанных в части (1), может иметь место в течение большего срока, чем тот, что предусмотрен Законом о доступе к информации, в той мере, в какой это может повлиять на исследование или его результаты, но не позднее момента  завершения исследования. Должно иметься согласие субъекта персональных данных на обработку данных о состоянии здоровья для научных исследований, а также на возможный перенос в связи с этим срока получения сведений, указанных в части (1).
    Статья 14. Право на вмешательство 
                        в отношении персональных данных
    Любой субъект персональных данных имеет право получать от контролера или обработчика по запросу и безвозмездно:
    a) исправление, актуализацию, блокирование или удаление персональных данных, обработка которых противоречит настоящему закону, в частности, в связи с неполным или неточным характером данных;
    b) уведомление третьих сторон, которым раскрываются персональные данные, об операциях, произведенных в соответствии с пунктом а), кроме случаев, когда такое уведомление оказывается невозможным или требующим непропорциональных усилий в сравнении с законным интересом, который может быть ущемлен.
    Статья 15. Исключения и ограничения
    (1) Положения части (1) статьи 4, частей (1) и (2) статьи 12 и статей 13, 14 и 28 не применяются в случае, когда обработка персональных данных осуществляется в рамках действий, предусмотренных пунктом d) части (2) статьи 2 и пунктом g) части (5) статьи 5, в целях обеспечения национальной обороны, государственной безопасности и общественного порядка, защиты прав и свобод субъекта персональных данных или иных лиц, если их применение влияет на эффективность действия или на цель, преследуемую при осуществлении установленных законом полномочий органа публичной власти.
    [Ст.15 ч.(1) изменена ЗП143 от 19.07.18, MO309-320/17.08.18 ст.482; в силу с 10.11.18]
    (2) Обработка персональных данных в целях, определенных в части (1), не должна превышать времени, необходимого для достижения преследуемой цели.
    (3) По прекращении обстоятельств, оправдывающих применение частей (1) и (2) настоящей статьи, контролеры должны принять необходимые меры для обеспечения соблюдения прав субъектов персональных данных, предусмотренных статьями 12–14.
    (4) Органы публичной власти ведут учет применения исключений, предусмотренных частью (1), и в 10-дневный срок уведомляют Национальный центр по защите персональных данных об обработке персональных данных в соответствии с настоящей статьей.
    Статья 16. Право субъекта персональных 
                        данных на возражение
    (1) Субъект персональных данных имеет право в любое время безвозмездно высказывать на обоснованном и законном основании, связанном с его частной ситуацией, возражение против того, чтобы касающиеся его персональные данные стали предметом обработки, кроме случаев, когда законом определено иное. Если возражение является обоснованным, выполняемая контролером обработка не может далее затрагивать эти данные.
    (2) Субъект персональных данных имеет право в любое время и без какого-либо обоснования безвозмездно высказывать возражение против того, чтобы касающиеся его персональные данные обрабатывались для целей прямого маркетинга. Контролер или обработчик обязаны перед раскрытием третьим сторонам персональных данных информировать субъекта о праве высказывать возражение против такого использования.
    Статья 17. Право не оказаться под 
                        воздействием частного решения
    (1) Каждое лицо имеет право требовать полной или частичной отмены любого частного решения, порождающего юридические последствия в отношении его прав и свобод и основанного исключительно на автоматизированной обработке персональных данных, предназначенной для оценки некоторых его личных аспектов, таких как профессиональная компетенция, надежность, поведение и т.п.
    (2) Лицо может оказаться под воздействием решения, указанного в части (1), если:
    а) решение санкционировано законом, устанавливающим меры для обеспечения законных интересов субъекта персональных данных;
    b) решение принято в ходе заключения или исполнения договора, при условии, что запрос субъекта персональных данных на заключение или исполнение договора был удовлетворен.
    Статья 18. Доступ к правосудию
    Любое лицо, которому нанесен ущерб в результате незаконно осуществленной обработки персональных данных или права и интересы которого, гарантированные настоящим законом, нарушены, вправе обратиться в суд с требованием компенсации за материальный и моральный ущерб.
Глава IV
Орган контроля в области обработки
персональных данных
    Статья 19. Орган контроля в области 
                        обработки персональных данных
    (1) Контроль за соответствием обработки персональных данных требованиям настоящего закона осуществляется Национальным центром по защите персональных данных (далее – Центр), действующим на основе беспристрастности и независимости.
    (2) Центр является юридическим лицом, имеет печать и бланки со своим наименованием и изображением Государственного герба Республики Молдова. Местонахождение Центра – муниципий Кишинэу.
    (3) Положение о Центре, его структура и предельная штатная численность утверждаются Парламентом.
    (4) Центр финансируется из государственного бюджета в пределах бюджетных ассигнований, утвержденных ежегодным бюджетным законом.
    [Ст.19 ч.(4) в редакции ЗП172 от 27.07.18, МО321-332/24.08.18 ст.529; в силу с 24.08.18]
    (5) Бюджет Центра разрабатывается, утверждается и администрируется в соответствии с принципами, правилами и процедурами, предусмотренными Законом о публичных финансах и бюджетно-налоговой ответственности №181/2014.
    [Ст.19 ч.(5) в редакции ЗП172 от 27.07.18, МО321-332/24.08.18 ст.529; в силу с 24.08.18]
    Статья 20. Функции и права Центра
    (1) Центр осуществляет следующие функции:
    a) следит за соблюдением законодательства о защите информации и контролирует его применение, в особенности в том, что касается права на информирование, доступ, вмешательство или возражение в отношении персональных данных;
    b) санкционирует обработку персональных данных в случаях, определенных законом;
    c) без ущерба для компетенции других органов дает необходимые указания для приведения обработки персональных данных в соответствие с положениями настоящего закона;
    d) предоставляет субъектам персональных данных информацию об их правах;
    e) распоряжается о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушением положений настоящего закона;
    f) ведет регистр учета контролеров персональных данных, форма и содержание которого утверждаются Правительством и который является общедоступным,  исключая  сведения,  предусмотренные  пунктом  l)  части (2) статьи 23; 
    g) издает приказы в области защиты персональных данных, издает типовые бланки уведомлений, а также собственных регистров;
    h) получает и рассматривает уведомления об обработке персональных данных;
    i) проводит проверку законности обработки персональных данных в соответствии с разработанным и утвержденным им положением;
    j) вносит предложения по совершенствованию действующего законодательства в области защиты и обработки персональных данных;
    k) сотрудничает с органами публичной власти, средствами массовой информации, общественными объединениями, а также с аналогичными зарубежными учреждениями;
    l) собирает и анализирует ежегодные отчеты о деятельности органов публичной власти в области защиты лиц применительно к обработке персональных данных;
    m) информирует правоохранительные органы в случае наличия признаков преступления, связанного с нарушением прав субъектов персональных данных;
    n) в соответствии с Кодексом Республики Молдова о правонарушениях констатирует правонарушения и составляет протоколы;
    o) информирует органы публичной власти о положении дел в области защиты прав субъектов персональных данных, а также отвечает на обращения и запросы субъектов персональных данных;
    p) проверяет выполнение утвержденных Правительством Требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
    q) периодически информирует учреждения и общество о своей деятельности, об основных вопросах и проблемах в области защиты прав личности;
    r) предоставляет помощь и выполняет запросы об оказании помощи в применении Конвенции о защите граждан в отношении автоматизированной обработки персональных данных;
    s) выполняет иные определенные законом функции.
    (2) Центр вправе:
    а) запрашивать и бесплатно получать от физических лиц и юридических лиц публичного или частного права сведения, необходимые для осуществления им своих функций;
    b) получать от контролеров поддержку и сведения, необходимые для осуществления им своих функций;
    c) привлекать к процессу предварительной проверки и проверки законности обработки персональных данных специалистов и экспертов в областях, требующих специальных знаний, заключая с ними соглашение о конфиденциальности;
    d) требовать от контролеров исправления, блокирования или уничтожения недостоверных или незаконно полученных персональных данных.
    (3) Контролеры независимо от их организационно-правовой формы  представляют Центру запрашиваемые материалы и документы, связанные с защитой персональных данных, в 15-дневный срок, если запросом не предусмотрен иной срок.
    Статья 21.  Организация  деятельности Центра
    (1) В рамках своей деятельности Центр обеспечивает конфиденциальность ставших ему известными персональных данных.
    (2) В целях сбора информации, необходимой для осуществления контрольных функций, персонал Центра имеет право доступа в помещения и на территорию размещения систем учета персональных данных, к персональным данным, обрабатывающимся контролерами и/или обработчиками, к технологическому оборудованию, программному обеспечению и приложениям, к любому документу или записи, связанным с обработкой персональных данных, в соответствии с законом.
    (3) Ежегодно до 15 марта Центр представляет Парламенту, Президенту Республики Молдова и Правительству отчет о деятельности за истекший год, который бесплатно публикуется в Официальном мониторе Республики Молдова и на web-странице Центра.
    Статья 22. Руководство Центра
    (1) Центр возглавляется директором, который назначается на должность Парламентом по предложению Председателя Парламента, парламентской фракции или группы из не менее чем 15 депутатов большинством голосов избранных депутатов на пятилетний срок. Одно и то же лицо не может занимать должность директора более двух сроков подряд.
    (2) Директор осуществляет общее руководство Центром, принимает на работу и увольняет работников Центра в соответствии с Законом о государственной должности и статусе государственного служащего, устанавливает должностные обязанности работников, организует подготовку годовых отчетов и представляет их на пленарных заседаниях Парламента, представляет учреждение в стране и за рубежом.
    (3) В осуществлении его функций директору Центра помогает заместитель директора, назначаемый по предложению директора Центра Парламентом большинством голосов избранных депутатов на пятилетний срок. В отсутствие директора Центра временное исполнение его обязанностей осуществляет заместитель.
    (4) Директором или заместителем директора Центра может быть назначено любое лицо, имеющее гражданство Республики Молдова, высшее юридическое образование и профессиональный опыт не менее пяти лет в области защиты прав и свобод человека. Не могут назначаться на должность директора или заместителя директора Центра лица, в отношении которых установлен запрет на занятие государственной должности или ответственной государственной должности, вытекающий из констатирующих актов Национального органа по неподкупности.
    [Ст.22 ч.(4) изменена ЗП74 от 26.04.18, МО235-244/29.06.18 ст.368]
    (5) Должности директора и заместителя директора Центра относятся к ответственным государственным должностям и на них распространяются положения законодательства о статусе лиц, исполняющих ответственные государственные должности; оплата их труда осуществляется в соответствии с законодательством о системе оплаты труда в бюджетной сфере.
    [Ст.22 ч.(5) изменена ЗП271 от 23.11.18, МО441-447/30.11.18 ст.717; в силу с 01.12.18]
    [Ст.22 ч.(5) изменена ЗП134 от 17.06.16, МО245-246/30.07.16 ст.515; в силу с 01.08.16]
    (6) В период исполнения полномочий директор и заместитель директора Центра не вправе состоять в партии или другой общественно-политической организации, осуществлять иную, кроме преподавательской и научной, публичную или частную деятельность, владеть прямо или опосредованно ценными бумагами коммерческих обществ или предприятий, деятельность которых относится к компетенции Центра.
    (7) Осуществление полномочий директора и заместителя директора Центра прекращается с истечением срока полномочий, исключая случаи их досрочного прекращения. По истечении срока полномочий директор и заместитель директора Центра продолжают исполнять обязанности до вступления в должность их преемников.
    (8) Полномочия директора и заместителя директора Центра досрочно прекращаются в случае:
    a) отставки;
    b) несовместимости с другими публичными или частными функциями, установленной ставшим окончательным констатирующим актом;
    [Ст.22 ч.(8), пкт.b) изменен ЗП134 от 17.06.16, МО245-246/30.07.16 ст.515; в силу с 01.08.16]
    с) отзыва с должности;
    d) невозможности осуществления полномочий по состоянию здоровья, установленному соответствующим медицинским освидетельствованием;
    e) смерти.
    (9) Предложение об отзыве с должности директора Центра может быть внесено Председателем Парламента, парламентской фракцией или группой из не менее чем 15 депутатов в случае:
    a) грубого нарушения должностных обязанностей, предусмотренных законодательством;
    b) окончательного решения об осуждении за совершение преступления.
    c) установления ставшим окончательным констатирующим актом издания/принятия им административного акта, совершения непосредственно или посредством третьего лица сделки, принятия или участия в принятии решения без разрешения фактического конфликта интересов в соответствии с законодательством о регулировании конфликта интересов;
    [Ст.22 ч.(9), пкт.c) введен ЗП134 от 17.06.16, МО245-246/30.07.16 ст.515; в силу с 01.08.16]
    d) неподачи декларации об имуществе и личных интересах или отказа от ее подачи согласно части (8) статьи 27 Закона о Национальном органе по неподкупности № 132 от 17 июня 2016 года;
    [Ст.22 ч.(9), пкт.d) введен ЗП134 от 17.06.16, МО245-246/30.07.16 ст.515; в силу с 01.08.16]
    e) предписания вступившим в законную силу решением судебной инстанции конфискации необоснованного имущества.
    [Ст.22 ч.(9), пкт.e) введен ЗП134 от 17.06.16, МО245-246/30.07.16 ст.515; в силу с 01.08.16]
    (10) Предложение об отзыве с должности заместителя директора Центра может быть внесено директором Центра, парламентской фракцией или группой из не менее чем 15 депутатов в случаях, предусмотренных частью  (9). Решение об отзыве принимается большинством голосов избранных депутатов.

Глава V
Контроль в области защиты
персональных данных
    Статья 23. Уведомление Центра 
                        об обработке персональных данных
    (1) Контролеры прямо или через обработчиков обязаны уведомлять Центр перед обработкой персональных данных, предназначенной служить единой цели. Обработка категорий персональных данных, отличных от тех, в отношении которых сделано уведомление, осуществляется при условии нового уведомления.
    (11) В части, не урегулированной настоящим законом, порядок запроса, выдачи, приостановления и отзыва разрешительных документов, предусмотренных настоящим законом для хозяйствующих субъектов, определяется Законом о регулировании предпринимательской деятельности путем разрешения № 160/2011.
    [Ст.23 ч.(11) введена ЗП185 от 21.09.17, MO371-382/27.10.17 ст.632; в силу с 27.10.17]
    (2) Уведомление должно включать:
    а) имя или наименование и место жительства либо местонахождение контролера и оператора, если таковой имеется;
    b) цель обработки;
    c) описание субъектов персональных данных и обрабатываемых данных, а также источников, из которых получены персональные данные;
    d) наличие согласия субъекта персональных данных на обработку данных;
    е) способ уведомления субъектов персональных данных об их правах, предполагаемую дату завершения операций по обработке, а также дальнейшее использование персональных данных;
    f) получателей, которым могут раскрываться персональные данные;
    g) гарантии при передаче персональных данных третьим сторонам;
    h) предполагаемые предложения о трансграничной передаче персональных данных;
    i) лиц, ответственных за обработку персональных данных;
    j) указание систем учета персональных данных, имеющих отношение к обработке, а также возможных связей с другими обработками данных или с другими системами учета персональных данных, независимо от того, осуществляются ли и, соответственно, находятся ли они на территории Республики Молдова;
    k) причины, обосновывающие применение положений статьи 10 и части (3) статьи 12 в ситуации, когда обработка данных осуществляется исключительно в целях журналистики или художественного или литературного творчества либо в статистических целях или в целях исторических или научных исследований;
    l) общее описание мер, принятых для обеспечения безопасности обработки персональных данных в соответствии со статьей 30.
    (3) В случае предполагаемой передачи обрабатываемых персональных данных в другие государства уведомление должно дополнительно содержать:
    а) категории данных, подлежащих передаче;
    b) государство назначения для каждой категории данных.
    (4) Органы публичной власти, обрабатывающие персональные данные в связи с указанной в пункте d) части (2) статьи 2 деятельностью в осуществление входящих в их компетенцию полномочий или во исполнение обязательств по международным соглашениям, стороной которых является Республика Молдова, обязаны представить информационное заявление, которое должно содержать:
    а) наименование и местонахождение контролера или, в зависимости от ситуации, обработчика;
    b) цели и правовые основания обработки;
    c) категории персональных данных, подвергающихся обработке.
    (5) Уведомление не требуется, если обработка осуществляется в целях ведения регистра, который предназначен для информирования общественности и который открыт для ознакомления либо общественности в целом, либо любому лицу, проявляющему законный интерес, при условии, что обработка ограничивается необходимыми для ведения указанного регистра данными.
    (6) Центр может установить и иные ситуации, когда уведомление не является необходимым, или ситуации, при которых уведомление может производиться в упрощенной форме, а именно когда:
    1) обработка, с учетом природы персональных данных, не влияет на права субъектов персональных данных, с условием уточнения:
    а) цели, для которой осуществляется обработка;
    b) данных, подлежащих обработке;
    с) категорий субъектов персональных данных;
    d) получателей, которым передаются персональные данные;
    е) продолжительности хранения персональных данных;
    2) обработка осуществляется в соответствии с пунктом d) части (1) статьи 6.
    (7) В случае не подлежащей уведомлению обработки персональных данных контролер или обработчик по запросу субъекта персональных данных представляют сведения, определенные пунктами а)–k) части (2), исключая ситуацию, предусмотренную частью (5).
    (8) При первоначальном уведомлении каждый контролер получает регистрационный номер, который указывается на всех документах, посредством которых персональные данные собираются, хранятся или передаются.
    Статья 24. Предварительная проверка
    (1) Если на основании уведомления Центр установит, что обработка подпадает под одну из категорий, определенных в части (2), он в пятидневный срок после подачи уведомления распоряжается о проведении в обязательном порядке предварительной проверки, о чем информирует контролера или обработчика.
    (2) Подлежат предварительной проверке категории операций по обработке персональных данных, являющихся объектом трансграничной передачи, и категории операций по обработке персональных данных, представляющих особый риск для прав и свобод лиц, а именно:
    а) операции по обработке особых категорий персональных данных, а также генетических и биометрических данных и данных, которые позволяют определить географическое местонахождение лиц, в том числе для целей научных исследований;
    b) операции по обработке персональных данных с помощью электронных средств, предназначенной для оценки некоторых личных аспектов, таких как профессиональная компетенция, надежность, поведение и т.п.;
    с) операции по обработке персональных данных с помощью электронных средств в системах учета, предназначенной для принятия некоторых частных автоматизированных решений в связи с анализом кредитоспособности, финансово-экономического положения, деяний, которые могут повлечь дисциплинарную, правонарушительную или уголовную ответственность физических лиц, осуществляемые лицами частного права;
    d)  операции по обработке персональных данных несовершеннолетних для целей прямого маркетинга;
    е) операции по обработке персональных данных, указанных в пункте а), и персональных данных несовершеннолетних, собираемых посредством Интернета или электронной почты.
    (3) Предварительная проверка проводится на основании сведений, представленных в уведомлении контролером или обработчиком. Центр может запросить дополнительную информацию о происхождении персональных данных, об используемых технологиях автоматизированной обработки, мерах безопасности обработки персональных данных.
    (4) Срок предварительной проверки не может превышать 45 дней. При необходимости, с учетом сложности операций по обработке персональных данных, Центр может продлить срок предварительной проверки на 45 дней, о чем извещается контролер или обработчик.
    Статья 25. Разрешение операций 
                        по обработке персональных данных
    (1) В семидневный срок после завершения предварительной проверки Центр выносит решение о выдаче разрешения или отказе в выдаче разрешения на операции, указанные в части (2) статьи 24.
    (2) Содержание и форма разрешения утверждаются Центром. Обработка персональных данных без разрешения или вне указанных в нем пределов запрещается.
    (3) Решение об отказе в выдаче разрешения на обработку персональных данных должно содержать основания отказа и – при необходимости – способ устранения обстоятельств, препятствующих обработке соответствующих данных. Решение об отказе в выдаче разрешения на обработку персональных данных может быть оспорено в административном суде.
    (4) Отказ в выдаче разрешения на обработку персональных данных не исключает возможности повторного уведомления Центра контролером после устранения обстоятельств, препятствующих обработке соответствующих данных.
    Статья 26. Проверка законности обработки
                        персональных данных
    (1) Проверка законности обработки персональных данных (далее – проверка) проводится с целью контроля соблюдения контролером и обработчиком требований и условий, предусмотренных настоящим законом.
    (2) Проверка проводится Центром в соответствии с утвержденным годовым планом, который публикуется на web-странице Центра.
    (3) О намерении произвести проверку Центр уведомляет контролера или обработчика за пять дней до ее начала, за исключением случаев, предусмотренных частями (2) и (4) статьи 27.
    (4) В случае выявления в результате проведенной проверки нарушений Центр выносит решение о приостановлении операций по обработке персональных данных, которое должно содержать указания по приведению обработки персональных  данных в соответствие с положениями настоящего закона.
    (5) Осуществление операций по обработке персональных данных приостанавливается до устранения обстоятельств, послуживших основанием для вынесения решения. Контролер или обработчик обязаны устранить такие обстоятельства в 30-дневный срок после вынесения решения о приостановлении.
    (6) Если контролер или обработчик не устранили в указанный в части (5) срок обстоятельства, послужившие основанием для приостановления, Центр выносит решение о прекращении операций по обработке персональных данных с распоряжением или без распоряжения о блокировании или уничтожении недостоверных или незаконно полученных персональных данных.
    (7) Решение о приостановлении или прекращении операций по обработке персональных данных может быть оспорено в административном суде.
    Статья 27. Порядок подачи жалоб и их
                        рассмотрения Центром
    (1) Субъект персональных данных, полагающий, что обработка его персональных данных не соответствует требованиям настоящего закона, в 30-дневный срок с момента обнаружения нарушения может подать жалобу в Центр.
    (2) В ходе рассмотрения жалобы Центр может заслушать субъекта персональных данных, контролера и, если таковой имеется, обработчика, свидетелей, а также принять решение о проведении внеплановой проверки.
    (3) Рассмотрев жалобу, Центр выносит мотивированное решение об отсутствии нарушений законодательства, либо о приостановлении операций по обработке персональных данных, либо об исправлении, блокировании или уничтожении недостоверных или незаконно полученных персональных данных. Решение сообщается заинтересованным сторонам в 30-дневный срок после получения жалобы.
    (4) Положения частей (2) и (3) применяются соответствующим образом и в ситуации, когда Центр в инициативном порядке реагирует на нарушения предусмотренных настоящим законом прав субъектов персональных данных.
    (5) Контролер, обработчик или субъект персональных данных может оспорить решение Центра в административном суде.
    Статья 28. Регистр учета контролеров 
                        персональных данных
    (1) В целях учета обработки персональных данных Центр создает и ведет регистр учета контролеров персональных данных, который должен содержать сведения, определенные в части (2) статьи 23. О любых изменениях, касающихся этих сведений, в пятидневный срок уведомляется Центр, который вносит в регистр учета контролеров персональных данных соответствующие записи.
    (2) Регистр учета контролеров персональных данных открыт для ознакомления общественности, за исключением раздела, содержащего информацию о мерах безопасности и обеспечения конфиденциальности. Способ доступа определяется Центром.
    (3) Регистрация контролеров, а также изменений в сведениях, внесенных в регистр учета контролеров персональных данных, осуществляется бесплатно.
Глава VI
Конфиденциальность и безопасность
обработки персональных данных
    Статья 29. Конфиденциальность 
                        персональных данных
    (1) Контролеры и третьи стороны, получающие доступ к персональным данным, обязаны обеспечивать конфиденциальность таких данных,  за  исключением  случаев:
    a) обработки, относящейся к персональным данным, которые добровольно и явно сделаны общедоступными субъектом персональных данных;
    b) обезличивания персональных данных.
    (2) Любое лицо, действующее от имени, в интересах или иным образом с санкции контролера, может обрабатывать персональные данные не иначе как по указанию контролера, за исключением случая, когда действует на основании обязательства, предусмотренного законом.
    (3) Руководство Центра и его работники обязаны обеспечивать неразглашение профессиональной тайны в отношении конфиденциальной информации, к которой они имеют доступ, даже после завершения трудовой деятельности.
    Статья 30. Безопасность обработки 
                        персональных  данных
    (1) При обработке персональных данных контролер обязан принять необходимые организационные и технические меры для защиты персональных данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в целях обеспечения надлежащего уровня безопасности в отношении рисков, представленных обработкой и природой обрабатываемых данных.
    (2) Если обработка персональных данных осуществляется за счет и в интересах контролера, он должен избрать обработчика, обеспечивающего соблюдение гарантий в отношении надлежащих мер технической безопасности и организационных мер, связанных с осуществляемой обработкой.
    (3) Обработка персональных данных посредством обработчика должна регулироваться договором или иным правовым актом, который обеспечивал бы, в частности, что:
    а) обработчик будет действовать только по указаниям контролера;
    b) предусмотренные частью (1) обязательства будут также обязательны для обработчика.
    (4) Требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются Правительством.
    Статья 31. Обезличивание персональных данных
    (1) В статистических целях, для проведения исторических, научных, социологических, медицинских исследований, юридического документирования контролер обезличивает персональные данные путем изъятия из них части, которая позволяет идентифицировать физическое лицо, преобразовывая их в анонимные сведения, которые не могут увязываться с идентифицированной или идентифицируемой личностью.
    (2) При обезличивании режим конфиденциальности, установленный для соответствующих персональных данных, снимается.
Глава VII
Трансграничная передача
персональных данных
    Статья 32. Трансграничная передача 
                        персональных  данных
    (1) Настоящая статья применяется в случае передачи в другое государство – независимо от используемых носителей или средств – персональных данных, которые составляют предмет обработки или собираются с целью подвергнуть их обработке.
    (2) Персональные данные, предназначенные для передачи другому государству, защищаются в соответствии с настоящим законом.
    (3) Трансграничная передача персональных данных, которые являются предметом обработки или подлежат обработке после передачи, может осуществляться с разрешения Центра в установленном законом порядке, лишь если государство назначения обеспечивает адекватный уровень защиты прав субъектов персональных данных и данных, предназначенных для передачи.
    (4) Уровень защиты определяется Центром с учетом условий, в которых осуществляется передача персональных данных, в частности, природы персональных данных, цели и продолжительности предполагаемых обработки или обработок, государства назначения, его законодательства, а также профессиональных норм и мер безопасности, соблюдаемых в государстве назначения.
    (5) Если Центр установит, что уровень защиты, обеспечиваемый государством назначения, неудовлетворителен, он запрещает передачу данных.
    (6) Центр может разрешить в установленном законом порядке передачу персональных данных в государство, законодательство которого не предусматривает уровня защиты, по меньшей мере равнозначного предоставляемому законодательством Республики Молдова, если контролер представляет достаточные гарантии защиты и осуществления прав субъектов персональных данных, установленные в заключенных между контролерами и физическими или юридическими лицами договорах, на основании которых производится передача.
    (7) Положения частей (3)–(6) не применяются, если передача персональных данных производится на основе положений специального закона или международного договора, ратифицированного Республикой Молдова, в частности если передача осуществляется в целях предотвращения или расследования преступлений.  Специальный закон или международный договор должны предусматривать гарантии защиты прав субъектов персональных данных.
    (8) Положения частей (1)–(6) не применяются в случае обработки персональных данных, осуществляемой исключительно в целях журналистики или в целях художественного или литературного творчества, если обрабатываются данные, добровольно и явно сделанные общедоступными субъектом персональных данных либо тесно связанные со статусом публичной фигуры субъекта персональных данных или публичным характером действий, в которые он вовлечен.
    (9) Передача персональных данных в государства, не обеспечивающие адекватный уровень защиты, может иметь место только в случаях:
    a) наличия согласия субъекта персональных данных;
    b) необходимости заключения или исполнения соглашения или договора между субъектом персональных данных и контролером либо между контролером и третьей стороной в интересах субъекта персональных данных;
    c) если это необходимо для защиты жизни, физической целостности или здоровья субъекта персональных данных;
    d) если передача производится из регистра, который предназначен для информирования общественности и который открыт для ознакомления либо общественности в целом, либо любому лицу, проявляющему законный интерес, в той мере, в какой условия, предусмотренные законом для ознакомления, выполняются в конкретном случае;
    e) если это необходимо для удовлетворения важного общественного интереса, такого как национальная оборона, государственная безопасность или общественный порядок, для нормального осуществления уголовного судопроизводства либо определения, осуществления или защиты права в суде, при условии, что персональные данные обрабатываются в связи с этими целями и только в течение срока, необходимого для достижения этих целей.
Глава VIII
Ответственность
    Статья 33. Ответственность за нарушение 
                        настоящего закона
    Лица, виновные в нарушении настоящего закона, несут в соответствии с законодательством гражданскую, правонарушительную или уголовную ответственность.
Глава IX
Заключительные и переходные положения
    Статья 34
    (1) Настоящий закон вступает в силу по истечении  шести месяцев со дня опубликования.
    (2) Со дня вступления в силу настоящего закона признать утратившим силу Закон о защите персональных данных № 17-XVI от 15 февраля 2007 года (Официальный монитор Республики Молдова, 2007 г., № 107–111, ст.468), с последующими изменениями и дополнениями.
    (3) Правительству в шестимесячный срок:
    a) разработать и представить Парламенту предложения по приве­дению действующего законодательства в соответствие с настоящим законом;
    b) привести свои нормативные акты в соответствие с настоящим законом;
    c) обеспечить приведение в соответствие с настоящим законом нормативных актов органов центрального публичного управления.
    (4) В 30-дневный срок со дня вступления в силу настоящего закона об операциях по обработке персональных данных, начатых до вступления его в силу, должен быть уведомлен в целях обязательной регистрации Центр.

    ПРЕДСЕДАТЕЛЬ ПАРЛАМЕНТА                                                  Мариан ЛУПУ

    № 133. Кишинэу, 8 июля 2011 г.