HGO296/2012
ID intern unic:  343273
Версия на русском
Fişa actului juridic

Republica Moldova
GUVERNUL
HOTĂRÎRE Nr. 296
din  15.05.2012
privind aprobarea Regulamentului Registrului de evidenţă
a operatorilor de date cu caracter personal
Publicat : 25.05.2012 în Monitorul Oficial Nr. 99-102     art Nr : 336
    În temeiul lit. f) alin. 1) art. 20 al Legii nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal (Monitorul Oficial al Republicii Moldova, 2011, nr. 170-175, art.492), Guvernul HOTĂRĂŞTE:
    Se aprobă Regulamentul Registrului de evidenţă a operatorilor de date cu caracter personal (se anexează).

    PRIM-MINISTRU                                                        Vladimir  FILAT

    Contrasemnează:
    Ministrul tehnologiei
    informaţiei şi comunicaţiilor                                          Pavel Filip

    Nr. 296. Chişinău, 15 mai 2012.


Aprobat
prin Hotărîrea Guvernului nr.296
din 15 mai 2012
REGULAMENTUL
REGISTRULUI DE EVIDENŢĂ A OPERATORILOR
DE DATE CU CARACTER PERSONAL
Capitolul I
DISPOZIŢII GENERALE
    1. Regulamentul Registrului de evidenţă a operatorilor de date cu caracter personal (în continuare – Regulament) transpune art. 21 din Directiva 95/46 CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Jurnalul Oficial al Comunităţilor Europene (JOCE) nr. L 281 din 23 noiembrie 1995 şi reprezintă instrumentul prin intermediul căruia Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (în continuare – Centru) realizează politica de asigurare a unui nivel adecvat de protecţie a datelor cu caracter personal în Republica Moldova.
    2. Regulamentul stabileşte procedurile şi mecanismul de înregistrare şi evidenţă a operatorilor, a bazelor de date, a sistemelor informaţionale şi informatice în care sînt stocate şi prelucrate date cu caracter personal, precum şi de asigurare a dreptului la informare a oricărei persoane.
    3. În sensul prezentului Regulament sînt utilizate următoarele noţiuni:
    1) sistem de evidenţă a datelor cu caracter personal – orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie că este centralizată, descentralizată ori repartizată după criterii funcţionale sau geografice. În calitate de sistem de evidenţă a datelor cu caracter personal se constituie inclusiv dar nu se limitează la, bazele de date, sistemele informaţionale şi informatice în care sînt stocate şi prelucrate automatizat sau manual date cu caracter personal;
    2) notificare (declaraţie de informare) – formular tipizat, completat şi depus pe propria răspundere de operator, în vederea înregistrării, modificării sau radierii obiectelor informaţionale în Registru;
    3) Ghişeu unic al Centrului Naţional pentru Protecţia Datelor cu Caracter Personal (în continuare – Ghişeu unic) – punct unic de recepţionare şi mecanism ce asigură adresarea operatorilor la Centru, în vederea notificării în scopul înregistrării sistemelor de evidenţă a datelor cu caracter personal, coordonarea cu autorităţile publice care sînt deţinători de informaţii şi date necesare pentru înregistrare;
    4) funcţionar al Ghişeului unic – angajat al Centrului care exercită funcţiile prevăzute de prezentul Regulament.
    4. Prezentul Regulament stabileşte o procedură unică de recepţionare a notificărilor solicitanţilor înregistrării prin adresarea acestora personală sau prin corespondenţă la Ghişeul unic al Centrului sau prezentarea on-line a notificării şi actelor anexate formatului electronic autentificat prin semnătura digitală, depusă prin intermediul interfeţei publice a paginii-web oficiale a Centrului în reţeaua Internet.
    5. Înregistrarea operatorilor şi a sistemelor de evidenţă a datelor cu caracter personal, modificarea şi radierea înregistrărilor în Registru este gratuită.
    6. Formularul tipizat al notificării (declaraţiei de informare) se elaborează şi se aprobă de către Centru.
Capitolul II
ŢINEREA REGISTRULUI
    7. Registrul de evidenţă a operatorilor de date cu caracter personal (în continuare – Registrul) se ţine în formă electronică, în limba de stat, care reprezintă un ansamblu de obiecte informaţionale, cu utilizarea sistemului informaţional automatizat, în modul şi în condiţiile prevăzute de lege.
    8. Subiecţi ai raporturilor juridice apărute ca rezultat al instituirii Registrului sînt:
    1) statul, în calitate de proprietar al Registrului;
    2) Centrul, în calitate de posesor, deţinător şi registrator al Registrului;
    3) operatorii sau persoanele împuternicite de către ei în calitate de furnizori ai datelor ce se stochează în Registru;
    4) deţinătorii sistemelor de evidenţă în care sînt stocate informaţii şi date necesare pentru verificarea autenticităţii actelor/documentelor/informaţiilor  prezentate de solicitanţii înregistrării în calitate de furnizori ai informaţiei ;
    5) persoana fizică sau juridică mandatată cu dreptul de a primi datele din Registru, conform legii.
    9. Registratorii şi persoana împuternicită să exercite controlul intern asupra ţinerii Registrului sînt desemnate de conducerea Centrului.
    10. Obiectele informaţionale ale Registrului sînt:
    1) numele, prenumele/denumirea şi domiciliul/sediul în Republica Moldova ale operatorului şi/sau ale persoanei împuternicite de către acesta, codul IDNO/IDNP;
    2) scopul declarat al prelucrării datelor cu caracter personal;
    3) descrierea categoriei/lor subiecţilor datelor cu caracter personal, descrierea categoriei/lor datelor ce vor fi prelucrate, precum şi a surselor de provenienţă a acestor date;
    4) informaţiile privind existenţa consimţămîntului subiecţilor datelor cu caracter personal referitor la prelucrarea acestor date;
    5) modul în care subiecţii datelor cu caracter personal sînt informaţi asupra drepturilor lor; după caz, data estimată pentru încheierea operaţiunilor de prelucrare, precum şi destinaţia ulterioară a datelor cu caracter personal prelucrate;
    6) lista exhaustivă a destinatarilor cărora se intenţionează a le fi dezvăluite prin transmitere, diseminare sau în orice alt mod, datele cu caracter personal;
    7) garanţiile privind transmiterea datelor cu caracter personal către terţi;
    8) propunerile privind transferurile transfrontaliere ale datelor cu caracter personal care se intenţionează a fi efectuate;
    9) categoriile de date care vor face obiectul transferului transfrontalier;
    10) statul de destinaţie pentru fiecare categorie de date care vor face obiectul transferului transfrontalier;
    11) persoanele responsabile pentru prelucrarea datelor cu caracter personal;
    12) specificarea sistemelor de evidenţă a datelor cu caracter personal, precum şi a eventualelor legături cu alte prelucrări de date sau cu alte sisteme de evidenţă a datelor cu caracter personal, indiferent dacă se efectuează sau nu, respectiv dacă sînt situate sau nu pe teritoriul Republicii Moldova;
    13) motivele care justifică aplicarea prevederilor art.10 şi alin. (3) art.12 din Legea nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal, în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, artistice sau literare ori în scopuri statistice, de cercetare istorică sau ştiinţifică;
    14) descrierea generală a măsurilor luate pentru asigurarea securităţii prelucrării datelor cu caracter personal.
    11. În Registru vor fi reflectate următoarele acţiuni:
    1) înregistrarea operatorilor şi a sistemelor de evidenţă a datelor cu caracter personal;
    2) modificarea înregistrării operatorilor şi a sistemelor de evidenţă a datelor cu caracter personal;
    3) radierea înregistrării operatorilor şi a sistemelor de evidenţă a datelor cu caracter personal.
    12.  Informaţiile stocate în Registru, cu excepţia celor atribuite prin lege la categoria celor cu accesibilitate limitată, reglementate de legislaţia în vigoare, urmează să fie făcute publice prin intermediul paginii-web oficiale a Centrului în reţeaua Internet, în termen ce nu depăşeşte 3 zile din data adoptării deciziei de înregistrare, modificare sau radiere.
    13.  Documentele în baza cărora se fac înscrierile în Registru se prezintă în format electronic cu respectarea cerinţelor faţă de documentul electronic, prevăzute de Legea nr. 264-XV din 15 iulie 2004 cu privire la documentul electronic şi semnătura digitală.
    14.  În cazul în care documentele nu sînt semnate cu semnătură digitală, acestea se prezintă în format electronic, cu anexarea pe suport de hîrtie, semnate olograf şi, după caz, confirmate cu ştampila solicitantului înregistrării persoană juridică. În cazul în care informaţia prezentată pe suport de hîrtie se conţine pe mai multe file, acestea vor fi cusute cu aplicarea, pe fiecare, a semnăturii şi, după caz, a ştampilei solicitantului înregistrării respectiv.
    15. Registratorul este în drept:
    1) să ceară informaţii suplimentare privind obiectele informaţionale care se înregistrează, dacă apar dubii privind autenticitatea şi plenitudinea datelor prezentate;
    2) să efectueze înscrieri în Registru sau radierea din acesta în baza informaţiei obţinute prin conectare la resursele informaţionale de stat.
    16.  Deţinătorii sistemelor de evidenţă în care sînt stocate date necesare pentru verificarea autenticităţii actelor/documentelor/informaţiilor  prezentate de solicitanţii înregistrării sînt obligaţi să prezinte, în termen de 10 zile lucrătoare şi în volum deplin, informaţia solicitată de registrator.
    17. Registratorul este obligat:
    1) să introducă numai informaţie veridică în baza datelor prezentate de către furnizorul de informaţie;
    2) să nu admită modificarea, distrugerea şi/sau utilizarea ilegală a datelor din Registru;
    3) să răspundă, în termen de 15 zile, la solicitările entităţilor care dispun de dreptul legal de a solicita informaţia atribuită la categoria celei cu accesibilitate limitată. În cazul depistării informaţiei neveridice prezentate şi stocate în Registru, informaţiile vor fi actualizate, şi în termen de 15 zile, aceste entităţi vor fi informate despre ajustările efectuate.
    18. Centrul refuză înregistrarea operatorilor şi a sistemelor de evidenţă a datelor cu caracter personal, cu emiterea deciziei corespunzătoare în acest sens, în cazurile în care:
    1) actele anexate la notificare conţin informaţii neveridice;
    2) notificarea a fost completată de solicitantul înregistrării necorespunzător modelului aprobat şi pus la dispoziţie de către Centru şi/sau nu sînt anexate toate documentele confirmative ale informaţiei necesare a fi introdusă în Registru, în conformitate cu prezentul Regulament, cu condiţia că operatorul nu s-a conformat cerinţelor de a întreprinde măsuri în vederea înlăturării acestor deficienţe în termenul stabilit de registrator;
    3) măsurile organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal nu corespund prevederilor cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal.
Capitolul III
ORGANIZAREA ACTIVITĂŢII GHIŞEULUI UNIC
    19.  Activitatea Ghişeului unic este organizată şi asigurată de Direcţia evidenţă şi control a Centrului.
    20. Notificările solicitanţilor înregistrării, însoţite de documentele confirmative, necesare pentru înregistrarea şi actualizarea obiectelor informaţionale ale Registrului, se depun la Ghişeul unic.
    21. Fiecare sistem de evidenţă a datelor cu caracter personal se notifică separat.
    22. Funcţionarul Ghişeului unic verifică corectitudinea completării notificării şi veridicitatea actelor prezentate.
    23. Notificarea nu este acceptată spre examinare şi este restituită în cazul în care nu este semnată, sau este semnată de o persoană neîmputernicită cu acest drept.
    24. În cazul acceptării notificării, solicitantul înregistrării este informat despre termenul de examinare, precum şi despre modul de înştiinţare privind rezultatul examinării şi decizia emisă.
Capitolul IV
PROCEDURILE ADMINISTRATIVE
Secţiunea 1
Înregistrarea notificării
    25. Pe pagina-web oficială a Centrului în reţeaua Internet este prevăzută posibilitatea completării notificării în format electronic.
    26. După completarea notificării în format electronic aceasta poate fi semnată prin aplicarea semnăturii digitale sau imprimată pe suport de hîrtie, semnată olograf de solicitantul înregistrării şi expediată/prezentată la Ghişeul unic, în modul stabilit de prezentul Regulament.
    27. După recepţionarea notificării, cu semnătură digitală, care corespunde cerinţelor faţă de documentul electronic, sistemul informaţional va trimite la adresa e-mail de contact indicată de solicitantul înregistrării, un mesaj de confirmare a faptului recepţionării formularului notificării.
    28. După recepţionarea notificării privind operaţiunile de prelucrare a datelor cu caracter personal care, în virtutea legii, necesită verificarea prealabilă, funcţionarul Ghişeului unic va informa solicitantul înregistrării despre termenul şi lista documentelor ce trebuie prezentate la Centru în vederea asigurării procedurilor de verificare prealabilă.
    29. Centrul examinează notificarea şi emite, în termen de cel mult 30 de zile calendaristice din data depunerii acesteia, ori din data adoptării deciziei de autorizare a operaţiunilor de prelucrare a datelor cu caracter personal, prevăzute de art. 24 alin. (2) al Legii nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal, o decizie de înregistrare sau de refuz a înregistrării  operatorului şi/sau sistemului de evidenţă a datelor cu caracter personal.
    30. Rezultatele examinării notificării se aduc la cunoştinţă solicitantului înregistrării, în termen de 3 zile din momentul adoptării deciziei.
    31. Decizia privind refuzul înregistrării poate fi contestată în instanţa de contencios administrativ. Termenul de contestare a deciziei de refuz de înregistrare curge din data primirii informaţiei prezentate de Centru sau primei descărcări a acesteia, fapt înregistrat de sistemul automatizat şi prezentat în formă de alertă în profilul operatorului.
    32. Refuzul înregistrării nu împiedică solicitantul înregistrării să depună repetat notificarea după înlăturarea cauzelor care au servit drept temei pentru emiterea deciziei de refuz.
    33. La notificarea primară, fiecare operator şi/sau sistem de evidenţă a datelor cu caracter personal,  primeşte un număr de înregistrare care rămîne invariabil pînă la radierea acestuia din Registru, şi nu poate fi atribuit unui alt operator sau sistem de evidenţă a datelor cu caracter personal.
    34. Numărul de înregistrare reprezintă un identificator compus din 10 cifre, format din identificatorul operatorului şi numărul de ordine al sistemului de evidenţă a datelor cu caracter personal, după modelul:
    XXXXXXX-YYY
    astfel:
    XXXXXXX – identificatorul operatorului;
    YYY – identificatorul sistemului de evidenţă a datelor cu caracter personal.
    35. În continuare, toate actele prin care datele cu caracter personal sînt prelucrate se marchează, indicîndu-se doar identificatorul operatorului.
    36. Centrul ţine dosarele de evidenţă a operatorilor şi a sistemelor de evidenţă a datelor cu caracter personal în format electronic, în care se stochează toate documentele/fişierele depuse în legătură cu înregistrarea/modificarea/ radierea înregistrărilor în/din Registru.
    37. Modalitatea ţinerii şi păstrării dosarelor de evidenţă este stabilită de Centru în conformitate cu legislaţia în vigoare.
Secţiunea 2
Verificarea prealabilă
    38. Sînt supuse verificării prealabile categoriile de operaţiuni de prelucrare a datelor cu caracter personal care fac obiectul transmiterii transfrontaliere, precum şi categoriile de operaţiuni de prelucrare a datelor cu caracter personal care prezintă riscuri speciale pentru drepturile şi libertăţile persoanelor specificate în art. 24 alin. (2) al Legii nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal.
    39. Verificarea prealabilă se efectuează în baza informaţiilor prezentate în notificarea depusă de către solicitantul înregistrării. Centrul poate solicita şi alte informaţii care includ, dar nu se limitează la originea datelor cu caracter personal, tehnologia de prelucrare automatizată utilizată, măsurile de securitate a prelucrării datelor cu caracter personal.
    40. Ca rezultat al verificării prealabile efectuate Centrul adoptă decizia privind autorizarea sau refuzul autorizării operaţiunilor de prelucrare a datelor cu caracter personal.
    41. Decizia privind refuzul autorizării operaţiunilor de prelucrare a datelor cu caracter personal trebuie să conţină motivele ce justifică refuzul şi, după caz,  modalitatea de înlăturare a circumstanţelor ce împiedică prelucrarea datelor respective.
    42. Refuzul autorizării operaţiunilor de prelucrare a datelor cu caracter personal nu exclude posibilitatea operatorului de a notifica, în mod repetat, Centrul după înlăturarea circumstanţelor care au împiedicat prelucrarea datelor respective.
    43.  Informaţia despre decizia emisă se expediază în adresa solicitantului înregistrării.
    44. Formatul electronic al deciziei va fi semnat cu semnătură digitală, şi va putea fi descărcat de operator sau persoana împuternicită de acesta la accesarea profilului respectiv creat prin intermediul paginii-web oficiale a Centrului în reţeaua Internet.
    45. Decizia emisă poate fi contestată în instanţa de contencios administrativ.
    46. Termenul de contestare a deciziei emise curge din data primirii informaţiei prezentate de Centru sau primei descărcări a acesteia, fapt înregistrat de sistem şi prezentat în formă de alertă în profilul operatorului de date cu caracter personal.
Secţiunea 3
Modificarea înregistrărilor în Registru
    47. Pentru introducerea modificărilor, solicitanţii înregistrării vor depune o notificare, modelul căreia este aprobat de Centru. Notificarea care vizează modificarea informaţiilor înregistrate în Registru se depune specificîndu-se numărul de înregistrare al operatorului şi sistemei de evidenţă a datelor cu caracter personal vizate cu respectarea condiţiilor de depunere şi procesare a notificării indicate în capitolul IV secţiunea 1 din prezentul Regulament.
    48. Orice modificare a informaţiilor respective va fi comunicată Centrului în termen de 5 zile.
    49. În cazul emiterii deciziei de modificare, sistemul automatizat va insera modificările corespunzătoare în Registru.
Secţiunea 4
Radierea înregistrărilor din Registru
    50. Radierea înregistrării din Registru se face în cazul:
    1) depunerii unei notificări în acest sens de către solicitantul înregistrării;
    2) emiterii de către Centru a unei decizii de încetare a prelucrării datelor cu caracter personal efectuate cu încălcarea prevederilor legii, la expirarea termenului legal de contestare a acesteia.
    51. Notificarea care vizează radierea informaţiilor înregistrate în Registru  se depune de solicitantul înregistrării cu specificarea numărului de înregistrare a operatorului şi/sau sistemei de evidenţă a datelor cu caracter personal vizate, cu respectarea condiţiilor de depunere şi procesare a notificării indicate în capitolul IV secţiunea 1 din prezentul Regulament.
    52. Decizia de radiere trebuie să fie întemeiată pe probe concludente referitor la distrugerea sau transmiterea datelor cu caracter personal prelucrate altui operator, cu respectarea  prevederilor legale şi a drepturilor subiectului de date cu caracter personal.
    53. În cazul emiterii deciziei de radiere, sistemul automatizat va efectua înregistrările respective în Registru.
    54. Radierea informaţiei din Registru, la iniţiativa operatorului sau persoanei împuternicite de acesta, poate fi refuzată în cazul în care:
    1) documentele anexate la notificare conţin informaţii neveridice, iar solicitantul înregistrării nu s-a conformat cerinţelor Centrului de a întreprinde măsuri în vederea înlăturării acestor deficienţe în termenul stabilit;
    2) nu s-a confirmat faptul distrugerii datelor cu caracter personal;
    3) nu s-a confirmat faptul transmiterii datelor cu caracter personal altui operator;
    4) transmiterea datelor cu caracter personal altui operator s-a efectuat cu încălcarea prevederilor legislaţiei privind protecţia datelor cu caracter  personal.
    55. În cazurile prevăzute la pct. 54 al prezentului Regulament, Centrul adoptă decizia privind refuzul radierii informaţiei din Registru.
    56. Decizia privind refuzul radierii nu împiedică solicitantul înregistrării să depună repetat notificarea de radiere, cu condiţia înlăturării cauzelor care au servit temei pentru emiterea deciziei de refuz.
    57. Operatorul şi/sau sistemul de evidenţă a datelor cu caracter personal se consideră radiat din Registru din momentul adoptării deciziei de radiere a acestuia.
Secţiunea 5
Extrasul din Registru
    58. La cerere, Centrul poate elibera extrase din Registru. Extrasul din Registru se prezintă, în baza unei cereri semnate în termen de 15 zile lucrătoare, cu respectarea legislaţiei privind protecţia datelor cu caracter personal şi accesul la informaţii.
    59. Refuzul eliberării extrasului din Registru poate fi contestat în instanţa de contencios administrativ.
Secţiunea 6
Accesul la informaţiile publice stocate în Registru
    60. Datele stocate în Registru, cu excepţia informaţiei detaliate privind măsurile de securitate şi de asigurare a confidenţialităţii datelor cu caracter personal, sînt accesibile oricărei persoane în conformitate cu prevederile legislaţiei privind accesul la informaţie şi privind protecţia datelor cu caracter personal.
    61. Accesul la informaţiile publice stocate în Registru se efectuează prin intermediul paginii-web oficiale a Centrului în reţeaua Internet.
 Capitolul V
PĂSTRAREA ŞI RESTABILIREA ÎNREGISTRĂRILOR
DIN REGISTRU. CONTROLUL ŞI RESPONSABILITATEA
    62. Direcţia evidenţă şi control a Centrului asigură respectarea termenelor de examinare şi soluţionare a notificărilor solicitanţilor înregistrării, procesarea şi transmiterea informaţiei în termenul prevăzut de prezentul Regulament, precum şi protecţia datelor cu caracter personal devenite cunoscute în procesul activităţii.
    63. După înregistrarea informaţiilor în Registru sau la expirarea termenelor stabilite pentru efectuarea înscrierilor, documentele şi fişierele în format electronic, care au servit drept temei pentru înregistrarea notificării, se păstrează în arhiva Centrului, în modul şi termenele stabilite de legislaţie.
    64. În cazul pierderii, distrugerii sau deteriorării datelor stocate în Registru, deţinătorul Registrului efectuează restabilirea lor în termen de 60 de zile calendaristice.
    65. Înregistrările Registrului pot fi restabilite, integral sau parţial, în baza documentelor şi copiilor de rezervă ale fişierelor electronice ce au constituit temei pentru efectuarea înscrierilor, extraselor din Registru, iar dacă documentele respective nu s-au păstrat – în baza copiilor acestora, autentificate în modul stabilit, precum şi în baza altor surse de informaţii.
    66. Restabilirea înregistrărilor stocate în Registru se efectuează sub supravegherea persoanei care exercită controlul intern asupra ţinerii lui.
    67. Ţinerea Registrului este supusă controlului intern şi extern, în conformitate cu prevederile art. 31 al Legii nr. 71-XVI din 22 martie 2007 cu privire la registre. Controlul intern este efectuat de persoana desemnată în condiţiile legii. Persoanele împuternicite de ţinerea Registrului şi păstrarea dosarelor de evidenţă a operatorilor  sau sistemelor de evidenţă a datelor cu caracter personal sînt obligate să prevină accesul nesancţionat la datele stocate în Registru şi/sau în dosarele de evidenţă a operatorilor sau sistemelor de evidenţă a datelor cu caracter personal, să întreprindă acţiuni în vederea neadmiterii cazurilor de utilizare ilegală, divulgare ilegală a informaţiei conţinute în acestea, modificare sau nimicire a acestor date.
    68. Persoanele împuternicite cu ţinerea Registrului sînt obligate de a nu divulga informaţia cu accesibilitate limitată la care au primit acces în legătură cu exercitarea atribuţiilor funcţionale, inclusiv după încetarea activităţii în cadrul Centrului. Pentru încălcarea clauzei de confidenţialitate, persoanele vinovate răspund în conformitate cu legislaţia civilă, contravenţională sau penală.