Внутренний номер: 353374
Varianta în limba de stat
Республика Молдова
от 12.05.2014
об утверждении Положения о проверке
законности обработки персональных данных
законности обработки персональных данных
ЗАРЕГИСТРИРОВАНО:
Министерство юстиции
Республики Молдова
Oлег ЕФРИМ
№ 980 от 2 июня 2014 г.
Министерство юстиции
Республики Молдова
Oлег ЕФРИМ
№ 980 от 2 июня 2014 г.
В соответствии с положениями п. i) ч.1 ст. 20 и ст. 26 Закона № 133 о защите персональных данных от 8 июля 2011 г. ПРИКАЗЫВАЮ:
1. Утвердить Положение о проверке законности обработки персональных данных (прилагается).
2. Управлению по вопросам права и связям с общественностью внести приказ в Реестр нормативных актов Национального центра по защите персональных данных и при поддержке управления учета и контроля обеспечить его размещение на официальном сайте центра.
3. Контроль за исполнением настоящего приказа оставляю за собой.
ДИРЕКТОР НАЦИОНАЛЬНОГО ЦЕНТРА
ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ Виталие ПАНИШ
№ 14. Кишинэу, 12 мая 2014 г.
Утверждено
Приказом директора
Национального центра
по защите персональных
данных № 14 от 12 мая 2014 г.
Приказом директора
Национального центра
по защите персональных
данных № 14 от 12 мая 2014 г.
ПОЛОЖЕНИЕ
О ПРОВЕРКЕ ЗАКОННОСТИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. Общие положения
О ПРОВЕРКЕ ЗАКОННОСТИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. Общие положения
1. Положение о проверке законности обработки персональных данных (далее – Положение) имеет целью юридическое и институциональное регулирование деятельности по контролю законности обработки персональных данных, осуществляемой Национальным центром по защите персональных данных (далее – Центр), и устанавливает цель и предмет контроля, формы контроля, процедуры для подготовки и осуществления контроля, особые правила по осуществлению предварительной проверки, а также правила ведения Реестра контролей.
2. Условия Положения распространяются на правоотношения, которые возникают в процессе проверки законности операций по обработке персональных данных, осуществляемых организациями, практикующими предпринимательскую деятельность, организациями, которые не выступают в качестве предпринимателей, включая органы публичной власти и физических лиц.
2. Условия Положения распространяются на правоотношения, которые возникают в процессе проверки законности операций по обработке персональных данных, осуществляемых организациями, практикующими предпринимательскую деятельность, организациями, которые не выступают в качестве предпринимателей, включая органы публичной власти и физических лиц.
II. Основные понятия
3. В целях настоящего Положения определяются следующие понятия:
предпринимательская деятельность – деятельность физического или юридического лица (производство, осуществление работ, оказание услуг и т.д.), выполняемая от собственного лица и под персональную ответственность с целью периодического получения доходов в течение определенного интервала времени;
проверка законности обработки персональных данных – совокупность всех действий Центра по установлению соответствия операций по обработке персональных данных законным требованиям и выполнение контролером или обработчиком персональных данных условий, предусмотренных законом;
проверяющее лицо - лицо/а уполномоченное/ые Центром посредством направления на контроль эффективно осуществлять контроль законности обработки персональных данных;
решение о контроле – постановление, принятое Центром в рамках своих полномочий, в котором указывается организация, в отношении которой будет осуществлен контроль;
направление на контроль – документ, изданный на основании решения о контроле, удостоверяющий право проверяющих/его лиц/а осуществлять проверку законности операций по обработке персональных данных, выполняемых определенным контролером и/или обработчиком персональных данных;
акт контроля – констатирующий акт, составляемый проверяющим лицом в письменном виде, вследствие осуществленного контроля, в котором подробно изложены зафиксированные результаты;
плановый контроль – контроль, осуществляемый на основе годового или ежеквартального плана, утвержденного директором Центра или лицом, исполняющим обязанности директора, о котором организация, подлежащая контролю, уведомляется не позднее 5 рабочих дней до дня его осуществления;
внезапный контроль – контроль, который не запланирован заранее, осуществляемый на основе жалобы субъекта персональных данных, который считает, что обработка персональных данных не соответствует требованиям Закона № 133 от 8 июля 2011 г. о защите персональных данных (далее – Закон № 133 от 8 июля 2011 г), обращения публичных властей/органов центрального и местного публичного управления и/или на основании реагирования Центра по собственной инициативе на нарушение прав субъектов персональных данных или законодательства в сфере защиты персональных данных;
повторный контроль – контроль, посредством которого оценивается качество и определяется правильность предыдущего контроля, преследующий цель проверки и сопоставления результатов предыдущего контроля с реальными результатами, полученными после повторного контроля. Повторный контроль рассматривается как внезапный контроль и осуществляется в целях удостоверения исполнения организацией, подверженной предыдущему контролю, решения, вынесенного Центром;
совместный контроль – контроль, в котором одновременно участвуют проверяющие лица со стороны двух и более контролирующих органов, включая Центр, на основе обращения/реагирования по собственной инициативе и/или утвержденного годового/ежеквартального плана;
предварительная проверка – деятельность по запросу информации, данных и необходимых документов в рамках рассмотрения уведомления, поданного в Центр организацией, которая намеревается обрабатывать определенный объем персональных данных;
контролер – физическое или юридическое лицо публичного или частного права, включая орган публичной власти, любое иное учреждение или организацию, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, прямо предусмотренные действующим законодательством;
обработчик – физическое или юридическое лицо публичного или частного права, включая орган публичной власти и его территориальные подразделения, которое от имени или в интересах контролера обрабатывает персональные данные по его указанию;
законный представитель – физическое лицо, которое в связи с должностными обязанностями и/или юридическими полномочиями, полученными должным образом, назначается/направляется контролером или обработчиком в целях управления правами и обязанностями, вытекающими из операций по обработке персональных данных;
организация, подлежащая контролю, – контролер и/или обработчик, в отношении которого была или будет осуществлена процедура контроля законности обработки персональных данных;
Реестр контролей – публичный регистр учета контролей, который ведется Центром;
система учета персональных данных – любой структурированный ряд персональных данных, доступных в соответствии со специфическими критериями, централизованный, децентрализованный или разделенный по функциональным или географическим критериям. В качестве системы персональных данных выступают, но не ограничиваются исключительно ими базы данных, информационные и компьютерные системы, в которых персональные данные хранятся и подвергаются автоматизированной или ручной обработке.
5. Контроль осуществляется уполномоченными лицами, назначенными Центром. Контролю подвергаются операции по обработке персональных данных, выполняемые:
a) контролером, находящимся на территории Республики Молдова;
b) в рамках дипломатических миссий и консульских отделов Республики Молдова, а также другими контролерами, находящимися за пределами территории страны, на которых распространяется внутреннее право Республики Молдова;
c) контролерами, находящимися за пределами территории Республики Молдова при использовании средств, находящихся на территории Республики Молдова (за исключением случаев, когда данные средства не применяются с целью транзита персональных данных, являющихся предметом соответствующей обработки, через территорию Республики Молдова);
d) в рамках действий по предотвращению и расследованию преступлений, исполнению приговоров к заключению и других действий уголовной процедуры или процедуры правонарушений в соответствии с законом даже в случаях, когда это относится к государственной тайне в установленном порядке;
e) контролером исключительно в личных или семейных целях в случаях, когда подобная ситуация привела к нарушению прав субъектов персональных данных.
6. Подлежат контролю:
a) автоматизированная, мануальная или смешанная (комбинация автоматизированных и мануальных средств) обработка персональных данных;
b) любой носитель персональных данных, магнитный, оптический, лазерный, бумажный или любой другой источник, на котором хранятся подобные данные;
c) системы учета персональных данных, сети, операционные системы, системы управления базами данных и другие приложения, посредством которых выполняются операции по обработке персональных данных.
8. При планировании выполнения плановых контролей учитывается информация и возможные риски, которые были констатированы/получены/выявлены в ходе предыдущих контролей Центра, принимая во внимание число и специфику жалоб субъектов персональных данных, а также тенденции расширения уязвимых сфер, подверженных внутренним и/или внешним угрозам в ракурсе обеспечения безопасности обработки персональных данных.
9. Выбор организаций, подлежащих плановому контролю, осуществляется по следующим критериям:
a) категории персональных данных, подверженных обработке;
b) цели и основания обработки персональных данных;
c) период осуществления обработки персональных данных организацией, подлежащей контролю;
d) предоставление информации о вероятных случаях нарушения безопасности или сомнительных операциях по обработке персональных данных;
e) дата осуществления последнего контроля;
f) степень соответствия политики безопасности персональных данных положениям Требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1123 от 14 декабря 2010 г.;
g) наличие предыдущих нарушений;
h) уровень квалификации персонала, обрабатывающего персональные данные;
i) уровень защиты/безопасности приложений и софта, используемых при обработке персональных данных организацией, подлежащей контролю.
10. Центр направляет организации, подлежащей контролю, экземпляр решения (приложение № 1) о контроле таким образом, чтобы фактическое время от получения экземпляра решения до момента начала контроля составляло не менее 5 рабочих дней. Исключением может послужить осуществление внезапного контроля на законных основаниях.
11.Плановый контроль организации не может быть осуществлен чаще одного раза в течение календарного года (исключение составляют внезапные контроли на законных основаниях).
12.Персонал, наделенный контрольными функциями, не вправе изменять график плановых контролей и/или осуществлять плановый контроль, который не был внесен в график контролей Центра.
a) проверки исполнения вынесенных ранее Центром решений и рекомендаций для приведения обработки персональных данных в соответствие с законными положениями;
b) обращения со стороны центральных или местных публичных властей о возможном нарушении законодательства по защите персональных данных;
c) реагирования Центра по собственной инициативе в случаях появления достоверной информации о наличии нарушений законодательства по защите персональных данных, о нарушении режима безопасности, необходимого при обработке данных подобного типа;
d) жалобы физического лица – субъекта персональных данных, по необходимости;
e) непосредственного запроса контролера/обработчика о проведении контроля, если на момент получения запроса не было вынесено решение об осуществлении внезапного контроля или данный контроль не включен в график контролей на текущий год.
14. Внезапный контроль не может быть проведен на основе недостоверной информации и/или информации, полученной из анонимных источников, а также в случаях существования других прямых/косвенных условий получения необходимой информации для вынесения мотивированного решения.
a) получает от начальника соответствующего подразделения (управление учета и контроля/управление по вопросам права и связям с общественностью) направление на контроль, зарегистрированное и подписанное директором Центра или лицом, исполняющим обязанности директора;
b) изучает нормативные и правовые акты, которые регламентируют требования к объекту, подлежащему контролю;
c) анализирует материалы в отношении организаций, которые подлежали контролю;
d) в случае необходимости изучает жалобу;
e) анализирует необходимую информацию в отношении организации, подлежащей контролю.
17. Решение о контроле должно содержать следующую информацию:
a) номер и дату решения об осуществлении контроля;
b) фамилию, имя, должность лица, которое назначило осуществление контроля;
c) идентификационные данные организации, подлежащей контролю;
d) тип и цель контроля;
e) юридические основания для осуществления контроля;
f) аспекты, которые должны быть рассмотрены в ходе контроля;
g) сроки осуществления контроля;
h) проверяющие лица, назначенные для осуществления контроля.
18. На основании решения о контроле выдается направление на контроль, подписанное директором Центра или лицом, исполняющим обязанности директора.
19. Направление на контроль должно содержать следующую информацию:
a) номер и дата выдачи направления на контроль;
b) фамилия, имя, должность лиц/а, которые/ое будут/ет осуществлять контроль;
c) идентификационные данные организации, подлежащей контролю;
d) тип, объект, период и задачи контроля.
20. Проверяющее лицо имеет право осуществить контроль только в случае, если все нижеперечисленные условия выполнены:
a) предоставлено служебное удостоверение, решение и направление на контроль;
b) один экземпляр направления на контроль и решения о контроле представлены организации, подлежащей контролю, или ее представителю;
c) по истечении 5 рабочих дней с момента получения организацией, подлежащей контролю, предупреждения о предстоящем контроле (в случае планового контроля);
d) заполнение журнала учета контролей, а в случае его отсутствия внесение этого факта в акт контроля.
21. Контроль может быть осуществлен только проверяющими лицами, которые указаны в решении и направлении на контроль, представителями управления учета и контроля и/или управления по вопросам права и связям с общественностью Центра.
22. В случае если контроль осуществляется группой проверяющих лиц, назначается руководитель контрольной группы, что отмечается в направлении на контроль.
23.Для осуществления контроля не могут быть назначены лица, находящиеся в конфликте интересов в соответствии с положениями Закона № 16 от 15 февраля 2008 г. о конфликте интересов.
24.В случае необходимости замены проверяющего лица или назначения дополнительных/ого проверяющих/его лиц/а директор Центра или лицо, исполняющее обязанности директора, издает новое решение и новое направление на контроль.
25. Вне зависимости от оснований и типа контроля, он не может быть осуществлен, а направление на контроль перестает быть действительным по истечении 10-дневного срока с момента получения организацией, подлежащей контролю, направления на контроль или с момента заполнения журнала учета контролей проверяющим.
26.В случае внезапных контролей 10-дневный срок может быть продлен еще на 10 дней директором Центра или лицом, исполняющим обязанности директора, на основании мотивированного решения, которое может быть опротестовано в суде организацией, подлежащей контролю, в порядке, предусмотренном Законом № 793 от 10 февраля 2000 г. об административном суде.
27.В зависимости от местоположения документации, которая обосновывает операции по обработке персональных данных, и/или систем учета и контроля персональных данных контроль на месте (плановый или внезапный) осуществляется по юридическому адресу организации, подлежащей контролю, и/или месту фактического осуществления деятельности по обработке персональных данных и/или на месте размещения системы учета персональных данных.
28.В случаях, когда контроль осуществляется параллельно с предпринимательской деятельностью организации, подлежащей контролю, руководитель контрольной группы и проверяющий/ие должен/ны действовать открыто и обеспечить по мере возможности невмешательство в процесс деятельности контролируемой организации.
a) на доступ в здания и на территории, где расположены системы учета персональных данных, на основании предъявления удостоверения, решения и направления на контроль организации, подлежащей контролю, или ее уполномоченному лицу;
b) на доступ к обработанным персональным данным, оборудованию, предназначенным для обработки, программам и приложениям, а также к любому документу или записи, относящейся к обработке персональных данных;
c) осуществлять контроль безопасности, включая выполнение определенных технических мер для симуляции доступа к системам учета персональных данных, с целью проверки уровня защиты систем учета персональных данных, а также в целях предупреждения возможных случаев нелегального или случайного доступа к подобным системам, выявление слабых мест в их защитных механизмах;
d) запрашивать и бесплатно получать от физических или юридических лиц необходимую информацию, связанную с задачами контроля;
e) проверять и копировать любой документ или запись в отношении обработки персональных данных;
f) запрашивать и получать объяснения/информацию о контролируемых аспектах в письменной или устной форме от организации, подлежащей контролю;
g) формулировать предложения для разработки необходимых инструкций для устранения обнаруженных недостатков;
h) осуществлять контроль за соблюдением мер, представленных в связи с осуществленными контролями;
i) констатировать правонарушения и составлять протоколы (приложения № 4 – 6) на основе материалов контроля в соответствии с положениями Кодекса о правонарушениях;
j) распоряжаться в соответствии с процедурой, регулируемой Кодексом о правонарушениях, об изъятии определенных объектов или документов, которые будут иметь значение при рассмотрении возбужденного в ходе контроля производства о правонарушении;
k) производить в соответствии с процедурой, регулируемой Кодексом о правонарушениях, обыск, если из собранных доказательств или материалов производства о правонарушении, возбужденного в ходе контроля, вытекает обоснованное предположение, что в каком-либо помещении, жилище или ином месте либо у какого-либо лица могут находиться предметы, которые применялись для совершения правонарушения, а также вещи или документы, могущие иметь значение для дела;
l) в случае установления в процессе контроля правонарушения и составления протокола о правонарушении проверяющее лицо наделяется правами констатирующего субъекта в соответствии с Кодексом о правонарушениях.
30. В процессе осуществления контроля проверяющее лицо обязано:
a) соблюдать Конституцию Республики Молдова, действующие законы и нормативные акты;
b) предъявлять служебное удостоверение, решение о контроле и направление на контроль организации, подлежащей контролю, или ее законному представителю, включая судебный ордер в случае осуществления обыска или контроля в жилище;
c) демонстрировать достойное поведение;
d) профессионально и эффективно исполнять свои обязанности;
e) информировать организацию, подлежащую контролю, о ее правах и обязанностях;
f) соблюдать права организации, подлежащей контролю;
g) не распространять содержание документов и информацию, с которыми проверяющее лицо ознакомилось в процессе осуществления контроля, за исключением случаев, предусмотренных законом;
h) информировать лицо, подавшее жалобу, о результатах контроля в соответствии с Законом № 133 от 8 июля 2011 г. и настоящим Положением;
i) исполнять обязанности, соблюдая принципы независимости, профессионализма и неподкупности, объективно и беспристрастно оценивать все подлежащие контролю аспекты;
j) обеспечивать целостность ценностей и документов проверяемого лица;
k) составлять акт контроля и/или по необходимости протокол о правонарушениях;
l) прилагать к акту контроля письменные объяснения представителей организации, подлежащей контролю, и/или ее сотрудников;
m) прилагать к протоколу о правонарушениях все необходимые доказательства для подтверждения отмеченных констатаций;
n) вручать организации, подвергшейся контролю, экземпляр акта контроля по его завершении.
31. В процессе осуществления контроля может быть применен метод симуляции, в рамках которого проверяющее лицо:
а) без предварительного представления, не раскрывая занимаемой должности и настоящей цели действий, воспроизводит в отношении контролера или обработчика персональных данных поведение, схожее с тем, которое описано в рассматриваемой жалобе, поданной субъектом персональных данных, и выполняет действия, навязанные ему проверяемой организацией (особенно те, которые касаются передачи требуемого объема и категорий персональных данных);
b) предпринимает ряд технических мер для симуляции модели неавторизованного доступа к системам учета персональных данных, которыми управляет организация, подлежащая контролю.
32. В случае уклонения организации, подлежащей контролю, от представления необходимых документов проверяющее лицо или руководитель группы проверяющих лиц обладает правом обратиться к полиции с целью получения помощи при осуществлении соответствующего контроля и предпринять меры, предусмотренные Кодексом о правонарушениях Республики Молдова, в целях получения доказательств, необходимых для разрешения дела.
33.Отказ от предоставления информации, предоставление недостоверной информации или препятствование доступу персонала Центра, включая: оскорбления, угрозы, сопротивление, насилие, покушение на их жизнь, здоровье, достоинство и имущество, а также на жизнь, здоровье, достоинство и имущество их близких родственников – при осуществлении должностных обязанностей влечет за собой ответственность за совершение правонарушения/уголовную ответственность в соответствии с действующим законодательством.
34.Проверяющее лицо не имеет права:
a) проверять аспекты, которые в соответствии с законом подлежат контролю со стороны других контрольных органов, если эти аспекты не связаны непосредственно с деятельностью по обработке персональных данных;
b) запрашивать и проверять документы и прочую информацию, которые не относятся к его компетенции и не соответствуют задаче контроля;
c) получать или предоставлять денежные компенсации или другие ненадлежащие преимущества;
d) нарушать сроки осуществления контроля.
a) получения копии направления на контроль, решения о контроле и ознакомления со служебным удостоверением проверяющего лица, включая получение копии актов, выданных судьей, который санкционировал обыск или доступ в жилище;
b) обжалования действий проверяющего лица;
c) быть проинформированной о своих правах и обязанностях;
d) присутствовать лично или посредством назначения представителя при процедуре контроля;
e) представлять объяснения и доказательства в свою пользу;
f) требовать приложения к акту о контроле любых документов или их копий, которые организация, подлежащая контролю, имеет право подписать, давать письменное объяснение, а также требовать включения в акт пометок об определенных фактах или правах/обязанностях;
g) ознакомиться с актом контроля и протоколом о правонарушениях, составленным по завершении контроля, и получить их копии.
36. При осуществлении контроля организация, подлежащая контролю, обязана:
a) разрешить доступ в свои служебные помещения и на территорию, где расположены системы учета персональных данных, к обрабатываемым персональным данным, а также доступ к обрабатывающему оборудованию, программам и приложениям, к любому документу или записи, относящейся к обработке персональных данных (в течение рабочего времени);
b) представлять документы и информацию, которую запросило проверяющее лицо в целях осуществления контроля;
c) создавать необходимые условия и при необходимости уполномочить лицо, ответственное за политику безопасности в отношении персональных данных, или другого сотрудника для обеспечения осуществления процесса контроля;
d) в случае планового контроля обеспечить присутствие руководителя (или его заместителя) или сотрудника подразделения, ответственного за контроль (особенно лица, ответственного за политику безопасности в отношении персональных данных). В случае внезапного контроля обеспечить их присутствие, как только это будет возможно в связи с объективными обстоятельствами;
e) сотрудничать с проверяющим лицом и содействовать эффективному осуществлению контроля;
f) давать устные или письменные объяснения и предоставлять проверяющим лицам соответствующую информацию, относящуюся к предмету контроля.
37. Любое препятствование осуществлению контроля, установленного в процессе контроля, как то:
a) отсутствие организации, подлежащей контролю, или ее представителя по указанному адресу;
b) препятствование в любой форме доступу в помещения и на территорию, где расположены системы учета персональных данных, к персональным данным, обработанным контролером и/или обработчиком, к обрабатывающему оборудованию, программам и приложениям;
c) отказ предоставить запрашиваемую сотрудниками Центра в процессе осуществления контрольных функций информацию или документы, предоставление недостоверной или неполной информации, а также непредоставление запрашиваемой информации и документов в установленные законом сроки, –
будет отмечено в акте контроля и протоколе о констатации и/или протоколе о правонарушении, подписанном проверяющим лицом и представителем организации, подлежащей контролю.Факт отсутствия представителя организации или его отказ подписывать необходимые документы отмечается в протоколе и заверяется подписями минимум 2 свидетелей, указывая их идентификационные данные (фамилия, имя, год рождения, место жительства).
38. Процедура контроля завершается составлением проверяющим/ми лицом/ами в срок в 10 рабочих дней с момента завершения контроля (для плановых контролей) и максимум 3 рабочих дней с момента завершения внезапного контроля акта контроля. Исключение составляют случаи, когда результаты контроля немедленно представляются контролеру персональных данных в соответствии с положениями п.83-84 Требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1123 от 14 декабря 2010 г.
39. Акт контроля в обязательном порядке должен содержать:
a) название контрольного органа, подразделения, полное имя и должность проверяющего лица;
b) полное наименование и IDNO юридического лица и индивидуального предпринимателя, подлежащих/его контролю, № предпринимательского патента/имя, фамилия и IDNP физического лица, подлежащего контролю;
c) тип и продолжительность контроля;
d) цель и основание контроля;
e) данные об аспектах, документах (вне зависимости от носителя), имуществе, помещениях, объектах другого характера, которые были подвержены контролю и соответствуют его целям;
f) констатация (отсутствия или наличия нарушений) и результаты контроля;
g) краткие ссылки на нормы законодательных и нормативных актов, которые организация, подвергшаяся контролю, нарушила.
40. К акту контроля прилагаются:
a) копии проверенных документов, которые подтверждают/опровергают нарушение законодательства;
b) протоколы, составленные в рамках контроля;
c) данные о продолжительности контроля;
d) письменные объяснения организации, подвергшейся контролю (и лица, ответственного за политику безопасности в отношении персональных данных, по необходимости).
41.Акт контроля составляется в двух экземплярах, нумеруется и подписывается на каждой странице всеми проверяющими лицами, которые осуществили контроль, а также лицом, в отношении которого был осуществлен контроль.
Один экземпляр акта контроля вручается представителю проверяемой организации с письменным подтверждением этого факта на акте контроля. Если он отказывается подписать и принять акт контроля, проверяющее лицо делает отметку «Отказался подписывать и/или принимать акт», а акт контроля отправляется данному лицу заказным письмом с уведомлением о получении в срок не более 10 рабочих дней с момента завершения составления акта контроля.
Второй экземпляр акта контроля представляется директору Центра или лицу, исполняющему обязанности директора, с предложениями о принятии необходимого решения.
42.Организация, подвергшаяся контролю, обладает правом в течение 10 рабочих дней с момента подписания акта контроля изложить доводы несогласия с актом контроля, подтверждая их дополнительными доказательствами, в поддержку своей позиции.
43. Проверяющее лицо рассмотрит представленные материалы и в случае необходимости составит дополнительный акт контроля (не внося исправления в основной акт). В дополнительном акте контроля указывается основной акт контроля, а в основной части отражаются измененные позиции при соблюдении процедуры составления акта контроля, включая приложение документов.
44. Право изложить доводы несогласия не влияет и не ограничивает возможность опротестования акта контроля в порядке, установленном законом.
45.Акт контроля вступает в силу по истечении 30 рабочих дней со дня его предъявления указанному в нем лицу, если акт не был обжалован.
46. В случае констатации противоправных действий совершенных с виновностью, которые относятся к законным положениям в сфере защиты персональных данных и подлежащих наказанию за совершенное правонарушение (случаи, предусмотренные ст.741-743 Кодекса о правонарушениях Республики Молдова), будет начато производство о правонарушении.
47. В протоколе о правонарушении, составленном на основании собранных доказательств, в рамках производства о правонарушении должно быть отмечено следующее:
1) дата (число, месяц, год) и место составления;
2) должность, фамилия и имя констатирующего субъекта, наименование представляемого им органа;
3) идентификационные данные организации, подвергшейся контролю, и/или ее законного/ых представителя/ей;
а) в случае юридических лиц – название, расположение, IDNO, данные лица, которое его представляет (фамилия, имя, должность, документ, который устанавливает представительские полномочия);
b) в случае физического лица - фамилия, имя, IDNP, место жительства, занятие лица, в отношении которого составляется протокол, в соответствии с его удостоверением личности;
4) событие правонарушения, место и время его совершения, обстоятельства дела, имеющие значение для установления фактов и правовых последствий;
5) юридическая квалификация деяния, материальная норма правонарушения и квалификация признаков состава правонарушения, оценка возможного ущерба, причиненного правонарушением;
6) информация о разъяснении правонарушителю его прав и обязанностей, предусмотренных ст. 384 Кодекса о правонарушениях;
7) были ли сделаны копии документов и записей, относящихся к операциям по обработке персональных данных;
8) информация о вещественных доказательствах, указывая данные владельца и при необходимости меры, предпринятые для их оценки или хранения;
9) замечания и доказательства, представляемые в свою защиту лицом, в отношении которого составлен протокол о правонарушении, а также замечания и доказательства потерпевшего;
10) мотив, в связи с которым лицо, в отношении которого составлен протокол о правонарушении, и/или его законный представитель не подписал/о констатирующий протокол, с указанием идентификационных данных свидетелей (фамилия, имя, год рождения и место жительства), которые подтверждают отсутствие или отказ лица, в отношении которого составлен протокол о правонарушении;
11) если лицо, в отношении которого возбуждено производство о правонарушении, или потерпевший не владеет языком, на котором составлен протокол, ему обеспечивается помощь переводчика, сведения о котором вносятся в протокол.
48. Не допускаются исправления, дополнения, другие изменения в протоколе. В случае необходимости подобных действий составляется новый протокол, в котором делается соответствующая запись.
49. В протоколе указывается судебная инстанция, в которую протокол о правонарушении будет отправлен для рассмотрения.
50. Протоколы о правонарушениях, а также все материалы и доказательства передаются для рассмотрения по существу в компетентную судебную инстанцию, расположенную на подведомственной территории Центра.
51. Констатации противоправного действия сопутствует при необходимости вынесение решения о приостановлении или прекращении (приложение № 9) операции по обработке персональных данных в соответствии с положениями ст. 20 ч. (1) п. е) Закона № 133 от 8 июля 2011 г. или решение о исправлении, блокировании или уничтожении недостоверных или полученных незаконным путем данных в соответствии со ст. 27 ч. (3) указанного законодательного акта. Копия протокола и решения представляется лицу, подвергшемуся контролю, под расписку или отправляется заказным письмом с уведомлением о вручении.
52. Контролер или обработчик персональных данных обязан устранить обстоятельства, указанные в решении Центра в 30-дневный срок. По истечении установленного срока организация, подвергшаяся контролю, обязана представить Центру информацию об устранении нарушений.
53. Решения, указанные в п. 51, устанавливают:
a) нарушения, совершенные организацией, подвергшейся контролю, с прямыми ссылками на положения действующего законодательства;
b) инструкции в отношении устранения констатированных нарушений и приведения обработки данных в соответствие с законными положениями, при необходимости;
c) обязательство организации исполнить и проинформировать Центр в 30-дневный срок с момента получения о выполнении или обжаловании решения в порядке, предусмотренном Законом № 793 от 10 февраля 2000 г. об административном суде.
54. В случае если организация, подвергшаяся контролю, не устранила обстоятельств, послуживших основанием для вынесения решения о приостановлении операции по обработке персональных данных в установленные сроки, Центр выносит решение о прекращении операций по обработке персональных данных с распоряжением или без распоряжения о блокировании или уничтожении недостоверных или незаконно полученных персональных данных.
55. Организация, подвергшаяся контролю, обладает правом обжаловать вынесенное в результате контроля решение в судебной инстанции в соответствии с положениями Закона № 793 от 10 февраля 2000 г. об административном суде.
57. Если на основании уведомления Центр установит, что обработка подпадает под одну из категорий, определенных п. 59 настоящего Положения, он распоряжается о проведении в обязательном порядке предварительной проверки, о чем информирует контролера или обработчика в 5-дневный срок после подачи уведомления.
58. Предварительная проверка проводится на основании сведений, представленных в уведомлении контролером или обработчиком, или дополнительно запрошенной информации в целях установления:
a) происхождения персональных данных;
b) используемых технологий автоматизированной обработки;
c) применяемых мер безопасности обработки персональных данных.
59. Предварительная проверка обязательна в случае уведомления об обработке персональных данных, представляющих особый риск для прав и свобод лиц, а именно:
a) операции по обработке персональных данных, являющихся объектом трансграничной передачи;
b) операции по обработке особых категорий персональных данных, а также генетических и биометрических данных и данных, которые позволяют определить географическое местонахождение лиц, в том числе для целей научных исследований;
c) операции по обработке персональных данных с помощью электронных средств, предназначенной для оценки некоторых личных аспектов, таких как профессиональная компетенция, надежность, поведение и т.п.;
d) операции по обработке персональных данных с помощью электронных средств в системах учета, предназначенной для принятия некоторых частных автоматизированных решений в связи с анализом кредитоспособности, финансово-экономического положения, деяний, которые могут повлечь дисциплинарную и уголовную ответственность, а также ответственность за совершение правонарушений физических лиц, осуществляемых лицами частного права;
e) операции по обработке персональных данных несовершеннолетних для целей коммерческого опроса (прямого маркетинга);
f) операции по обработке персональных данных несовершеннолетних, собранных посредством Интернета или электронной почты.
60. Предварительная проверка осуществляется для уточнения следующих аспектов:
1) соблюдение положений законодательства в отношении обработки персональных данных;
2) необходимость принятия дополнительных мер безопасности.
61. Срок предварительной проверки не может превышать 45 дней. При необходимости с учетом сложности операций по обработке персональных данных срок предварительной проверки может быть продлен на 45 дней, о чем извещается контролер или обработчик.
62. В 7-дневный срок после завершения предварительной проверки Центр выносит решение о:
a) разрешении начала обработки персональных данных в рамках, указанных в уведомлении;
b) разрешении начала обработки персональных данных в рамках, отличающихся от тех, которые указаны в уведомлении;
c) отказе в выдаче разрешения на обработку персональных данных.
63. Решение об отказе в выдаче разрешения на обработку персональных данных должно содержать основания отказа и при необходимости способ устранения обстоятельств, препятствующих обработке соответствующих данных (рекомендации, уведомления, решения, обязательные инструкции или другие меры по устранению установленных сложностей с соблюдением законных сроков).
64.Отказ в выдаче разрешения на обработку персональных данных не исключает возможности повторного уведомления Центра контролером после устранения обстоятельств, препятствующих обработке соответствующих данных.
65. Решения, вынесенные после окончания предварительной проверки, подписываются директором Центра или лицом, исполняющим обязанности директора.
66. Решения могут быть обжалованы в порядке, предусмотренном Законом № 793 от 10 февраля 2000 г. об административном суде.
68. Реестр содержит следующие данные:
a) наименование органа, подлежащего контролю;
b) номер и дата вынесения решения о контроле или предварительной проверки;
c) номер и дата вынесения направления на контроль, а также полные имена проверяющих лиц;
d) период проведения контроля;
e) тип контроля;
f) документы, составленные в результате контроля (акт контроля, решение о приостановлении/прекращении операций по обработке персональных данных, протокол о правонарушении);
g) информация об исполнении решения, вынесенного в результате осуществления контроля, или наказания за правонарушение, примененное судебной инстанцией.
69. Данные, упомянутые в пп. 1-5 п. 68, в обязательном порядке вносятся в Реестр контролей в течение 5 рабочих дней с начала контроля.
70. Не позднее 5 рабочих дней со дня внесения данных в Реестр контроля Центр передает эти данные органу центрального публичного управления, ответственному за мониторинг контроля (Государственная канцелярия), для внесения их в Государственный реестр контроля.
71. В отступление от положений п. 70, в случае, если организация, подверженная контролю, не осуществляет предпринимательскую деятельность, данные из Реестра контролей не передаются органу центральной публичного управления, ответственному за мониторинг контроля.
73. Лица, обвиняемые в несоблюдении положений настоящего Положения могут быть привлечены к ответственности в соответствии с гражданским и уголовным законодательством, а также законодательством в области правонарушений.
74. Информационная система учета контролей «Реестр контролей» ведется на протяжении всего периода деятельности в соответствии с положениями, установленными Законом о регистрах № 71 от22 марта 2007 г. и Требованиями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1123 от 14 декабря 2010 г.
anexa nr.1
anexa nr.2
anexa nr.3
anexa nr.4
anexa nr.5
anexa nr.6
anexa nr.7
anexa nr.8
anexa nr.9
предпринимательская деятельность – деятельность физического или юридического лица (производство, осуществление работ, оказание услуг и т.д.), выполняемая от собственного лица и под персональную ответственность с целью периодического получения доходов в течение определенного интервала времени;
проверка законности обработки персональных данных – совокупность всех действий Центра по установлению соответствия операций по обработке персональных данных законным требованиям и выполнение контролером или обработчиком персональных данных условий, предусмотренных законом;
проверяющее лицо - лицо/а уполномоченное/ые Центром посредством направления на контроль эффективно осуществлять контроль законности обработки персональных данных;
решение о контроле – постановление, принятое Центром в рамках своих полномочий, в котором указывается организация, в отношении которой будет осуществлен контроль;
направление на контроль – документ, изданный на основании решения о контроле, удостоверяющий право проверяющих/его лиц/а осуществлять проверку законности операций по обработке персональных данных, выполняемых определенным контролером и/или обработчиком персональных данных;
акт контроля – констатирующий акт, составляемый проверяющим лицом в письменном виде, вследствие осуществленного контроля, в котором подробно изложены зафиксированные результаты;
плановый контроль – контроль, осуществляемый на основе годового или ежеквартального плана, утвержденного директором Центра или лицом, исполняющим обязанности директора, о котором организация, подлежащая контролю, уведомляется не позднее 5 рабочих дней до дня его осуществления;
внезапный контроль – контроль, который не запланирован заранее, осуществляемый на основе жалобы субъекта персональных данных, который считает, что обработка персональных данных не соответствует требованиям Закона № 133 от 8 июля 2011 г. о защите персональных данных (далее – Закон № 133 от 8 июля 2011 г), обращения публичных властей/органов центрального и местного публичного управления и/или на основании реагирования Центра по собственной инициативе на нарушение прав субъектов персональных данных или законодательства в сфере защиты персональных данных;
повторный контроль – контроль, посредством которого оценивается качество и определяется правильность предыдущего контроля, преследующий цель проверки и сопоставления результатов предыдущего контроля с реальными результатами, полученными после повторного контроля. Повторный контроль рассматривается как внезапный контроль и осуществляется в целях удостоверения исполнения организацией, подверженной предыдущему контролю, решения, вынесенного Центром;
совместный контроль – контроль, в котором одновременно участвуют проверяющие лица со стороны двух и более контролирующих органов, включая Центр, на основе обращения/реагирования по собственной инициативе и/или утвержденного годового/ежеквартального плана;
предварительная проверка – деятельность по запросу информации, данных и необходимых документов в рамках рассмотрения уведомления, поданного в Центр организацией, которая намеревается обрабатывать определенный объем персональных данных;
контролер – физическое или юридическое лицо публичного или частного права, включая орган публичной власти, любое иное учреждение или организацию, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, прямо предусмотренные действующим законодательством;
обработчик – физическое или юридическое лицо публичного или частного права, включая орган публичной власти и его территориальные подразделения, которое от имени или в интересах контролера обрабатывает персональные данные по его указанию;
законный представитель – физическое лицо, которое в связи с должностными обязанностями и/или юридическими полномочиями, полученными должным образом, назначается/направляется контролером или обработчиком в целях управления правами и обязанностями, вытекающими из операций по обработке персональных данных;
организация, подлежащая контролю, – контролер и/или обработчик, в отношении которого была или будет осуществлена процедура контроля законности обработки персональных данных;
Реестр контролей – публичный регистр учета контролей, который ведется Центром;
система учета персональных данных – любой структурированный ряд персональных данных, доступных в соответствии со специфическими критериями, централизованный, децентрализованный или разделенный по функциональным или географическим критериям. В качестве системы персональных данных выступают, но не ограничиваются исключительно ими базы данных, информационные и компьютерные системы, в которых персональные данные хранятся и подвергаются автоматизированной или ручной обработке.
III. Цель и предмет контроля
4. Целью осуществления контроля является проверка соответствия обработки персональных данных Закону № 133 от 8 июля 2011 г., Требованиям по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства № 1123 от 14 декабря 2010 г., и Положению о Регистре учета контролеров персональных данных, утвержденному Постановлением Правительства № 296 от 15 мая 2012 г.5. Контроль осуществляется уполномоченными лицами, назначенными Центром. Контролю подвергаются операции по обработке персональных данных, выполняемые:
a) контролером, находящимся на территории Республики Молдова;
b) в рамках дипломатических миссий и консульских отделов Республики Молдова, а также другими контролерами, находящимися за пределами территории страны, на которых распространяется внутреннее право Республики Молдова;
c) контролерами, находящимися за пределами территории Республики Молдова при использовании средств, находящихся на территории Республики Молдова (за исключением случаев, когда данные средства не применяются с целью транзита персональных данных, являющихся предметом соответствующей обработки, через территорию Республики Молдова);
d) в рамках действий по предотвращению и расследованию преступлений, исполнению приговоров к заключению и других действий уголовной процедуры или процедуры правонарушений в соответствии с законом даже в случаях, когда это относится к государственной тайне в установленном порядке;
e) контролером исключительно в личных или семейных целях в случаях, когда подобная ситуация привела к нарушению прав субъектов персональных данных.
6. Подлежат контролю:
a) автоматизированная, мануальная или смешанная (комбинация автоматизированных и мануальных средств) обработка персональных данных;
b) любой носитель персональных данных, магнитный, оптический, лазерный, бумажный или любой другой источник, на котором хранятся подобные данные;
c) системы учета персональных данных, сети, операционные системы, системы управления базами данных и другие приложения, посредством которых выполняются операции по обработке персональных данных.
IV. Формы контроля
Раздел 1.
Плановый контроль
7. Плановый контроль выполняется на основе годового/ежеквартального плана, утвержденного директором Центра или лицом, исполняющим обязанности директора, который размещается на сайте Центра.Плановый контроль
8. При планировании выполнения плановых контролей учитывается информация и возможные риски, которые были констатированы/получены/выявлены в ходе предыдущих контролей Центра, принимая во внимание число и специфику жалоб субъектов персональных данных, а также тенденции расширения уязвимых сфер, подверженных внутренним и/или внешним угрозам в ракурсе обеспечения безопасности обработки персональных данных.
9. Выбор организаций, подлежащих плановому контролю, осуществляется по следующим критериям:
a) категории персональных данных, подверженных обработке;
b) цели и основания обработки персональных данных;
c) период осуществления обработки персональных данных организацией, подлежащей контролю;
d) предоставление информации о вероятных случаях нарушения безопасности или сомнительных операциях по обработке персональных данных;
e) дата осуществления последнего контроля;
f) степень соответствия политики безопасности персональных данных положениям Требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1123 от 14 декабря 2010 г.;
g) наличие предыдущих нарушений;
h) уровень квалификации персонала, обрабатывающего персональные данные;
i) уровень защиты/безопасности приложений и софта, используемых при обработке персональных данных организацией, подлежащей контролю.
10. Центр направляет организации, подлежащей контролю, экземпляр решения (приложение № 1) о контроле таким образом, чтобы фактическое время от получения экземпляра решения до момента начала контроля составляло не менее 5 рабочих дней. Исключением может послужить осуществление внезапного контроля на законных основаниях.
11.Плановый контроль организации не может быть осуществлен чаще одного раза в течение календарного года (исключение составляют внезапные контроли на законных основаниях).
12.Персонал, наделенный контрольными функциями, не вправе изменять график плановых контролей и/или осуществлять плановый контроль, который не был внесен в график контролей Центра.
Раздел 2.
Внезапный контроль
13. Центр может принимать решения об осуществлении внезапных контролей контролера/ов/обработчиков персональных данных вне графика плановых контролей только в случаях:Внезапный контроль
a) проверки исполнения вынесенных ранее Центром решений и рекомендаций для приведения обработки персональных данных в соответствие с законными положениями;
b) обращения со стороны центральных или местных публичных властей о возможном нарушении законодательства по защите персональных данных;
c) реагирования Центра по собственной инициативе в случаях появления достоверной информации о наличии нарушений законодательства по защите персональных данных, о нарушении режима безопасности, необходимого при обработке данных подобного типа;
d) жалобы физического лица – субъекта персональных данных, по необходимости;
e) непосредственного запроса контролера/обработчика о проведении контроля, если на момент получения запроса не было вынесено решение об осуществлении внезапного контроля или данный контроль не включен в график контролей на текущий год.
14. Внезапный контроль не может быть проведен на основе недостоверной информации и/или информации, полученной из анонимных источников, а также в случаях существования других прямых/косвенных условий получения необходимой информации для вынесения мотивированного решения.
Раздел 3.
Совместный контроль
15.Совместный контроль осуществляется Центром при участии других органов контроля, когда заранее известна необходимая информация об ожидаемом контроле. В случае совместного контроля проверяющим лицам Центра выдаются отдельные направления (приложение № 2) на контроль, а если последние не участвовали в осуществлении совместного контроля, то с момента издания акта контроля (приложение № 3) они теряют право осуществлять контроль в отношении соответствующего лица. Совместный контроль
V. Подготовка и осуществление контроля
Раздел 1.
Общие положения
16.Проверяющее лицо или руководитель контрольной группы в процессе подготовки к контролю выполняет следующие действия:Раздел 1.
Общие положения
a) получает от начальника соответствующего подразделения (управление учета и контроля/управление по вопросам права и связям с общественностью) направление на контроль, зарегистрированное и подписанное директором Центра или лицом, исполняющим обязанности директора;
b) изучает нормативные и правовые акты, которые регламентируют требования к объекту, подлежащему контролю;
c) анализирует материалы в отношении организаций, которые подлежали контролю;
d) в случае необходимости изучает жалобу;
e) анализирует необходимую информацию в отношении организации, подлежащей контролю.
17. Решение о контроле должно содержать следующую информацию:
a) номер и дату решения об осуществлении контроля;
b) фамилию, имя, должность лица, которое назначило осуществление контроля;
c) идентификационные данные организации, подлежащей контролю;
d) тип и цель контроля;
e) юридические основания для осуществления контроля;
f) аспекты, которые должны быть рассмотрены в ходе контроля;
g) сроки осуществления контроля;
h) проверяющие лица, назначенные для осуществления контроля.
18. На основании решения о контроле выдается направление на контроль, подписанное директором Центра или лицом, исполняющим обязанности директора.
19. Направление на контроль должно содержать следующую информацию:
a) номер и дата выдачи направления на контроль;
b) фамилия, имя, должность лиц/а, которые/ое будут/ет осуществлять контроль;
c) идентификационные данные организации, подлежащей контролю;
d) тип, объект, период и задачи контроля.
20. Проверяющее лицо имеет право осуществить контроль только в случае, если все нижеперечисленные условия выполнены:
a) предоставлено служебное удостоверение, решение и направление на контроль;
b) один экземпляр направления на контроль и решения о контроле представлены организации, подлежащей контролю, или ее представителю;
c) по истечении 5 рабочих дней с момента получения организацией, подлежащей контролю, предупреждения о предстоящем контроле (в случае планового контроля);
d) заполнение журнала учета контролей, а в случае его отсутствия внесение этого факта в акт контроля.
21. Контроль может быть осуществлен только проверяющими лицами, которые указаны в решении и направлении на контроль, представителями управления учета и контроля и/или управления по вопросам права и связям с общественностью Центра.
22. В случае если контроль осуществляется группой проверяющих лиц, назначается руководитель контрольной группы, что отмечается в направлении на контроль.
23.Для осуществления контроля не могут быть назначены лица, находящиеся в конфликте интересов в соответствии с положениями Закона № 16 от 15 февраля 2008 г. о конфликте интересов.
24.В случае необходимости замены проверяющего лица или назначения дополнительных/ого проверяющих/его лиц/а директор Центра или лицо, исполняющее обязанности директора, издает новое решение и новое направление на контроль.
25. Вне зависимости от оснований и типа контроля, он не может быть осуществлен, а направление на контроль перестает быть действительным по истечении 10-дневного срока с момента получения организацией, подлежащей контролю, направления на контроль или с момента заполнения журнала учета контролей проверяющим.
26.В случае внезапных контролей 10-дневный срок может быть продлен еще на 10 дней директором Центра или лицом, исполняющим обязанности директора, на основании мотивированного решения, которое может быть опротестовано в суде организацией, подлежащей контролю, в порядке, предусмотренном Законом № 793 от 10 февраля 2000 г. об административном суде.
27.В зависимости от местоположения документации, которая обосновывает операции по обработке персональных данных, и/или систем учета и контроля персональных данных контроль на месте (плановый или внезапный) осуществляется по юридическому адресу организации, подлежащей контролю, и/или месту фактического осуществления деятельности по обработке персональных данных и/или на месте размещения системы учета персональных данных.
28.В случаях, когда контроль осуществляется параллельно с предпринимательской деятельностью организации, подлежащей контролю, руководитель контрольной группы и проверяющий/ие должен/ны действовать открыто и обеспечить по мере возможности невмешательство в процесс деятельности контролируемой организации.
Раздел 2.
Права и обязанности проверяющего лица
29. В процессе осуществления контроля проверяющее лицо имеет право:Права и обязанности проверяющего лица
a) на доступ в здания и на территории, где расположены системы учета персональных данных, на основании предъявления удостоверения, решения и направления на контроль организации, подлежащей контролю, или ее уполномоченному лицу;
b) на доступ к обработанным персональным данным, оборудованию, предназначенным для обработки, программам и приложениям, а также к любому документу или записи, относящейся к обработке персональных данных;
c) осуществлять контроль безопасности, включая выполнение определенных технических мер для симуляции доступа к системам учета персональных данных, с целью проверки уровня защиты систем учета персональных данных, а также в целях предупреждения возможных случаев нелегального или случайного доступа к подобным системам, выявление слабых мест в их защитных механизмах;
d) запрашивать и бесплатно получать от физических или юридических лиц необходимую информацию, связанную с задачами контроля;
e) проверять и копировать любой документ или запись в отношении обработки персональных данных;
f) запрашивать и получать объяснения/информацию о контролируемых аспектах в письменной или устной форме от организации, подлежащей контролю;
g) формулировать предложения для разработки необходимых инструкций для устранения обнаруженных недостатков;
h) осуществлять контроль за соблюдением мер, представленных в связи с осуществленными контролями;
i) констатировать правонарушения и составлять протоколы (приложения № 4 – 6) на основе материалов контроля в соответствии с положениями Кодекса о правонарушениях;
j) распоряжаться в соответствии с процедурой, регулируемой Кодексом о правонарушениях, об изъятии определенных объектов или документов, которые будут иметь значение при рассмотрении возбужденного в ходе контроля производства о правонарушении;
k) производить в соответствии с процедурой, регулируемой Кодексом о правонарушениях, обыск, если из собранных доказательств или материалов производства о правонарушении, возбужденного в ходе контроля, вытекает обоснованное предположение, что в каком-либо помещении, жилище или ином месте либо у какого-либо лица могут находиться предметы, которые применялись для совершения правонарушения, а также вещи или документы, могущие иметь значение для дела;
l) в случае установления в процессе контроля правонарушения и составления протокола о правонарушении проверяющее лицо наделяется правами констатирующего субъекта в соответствии с Кодексом о правонарушениях.
30. В процессе осуществления контроля проверяющее лицо обязано:
a) соблюдать Конституцию Республики Молдова, действующие законы и нормативные акты;
b) предъявлять служебное удостоверение, решение о контроле и направление на контроль организации, подлежащей контролю, или ее законному представителю, включая судебный ордер в случае осуществления обыска или контроля в жилище;
c) демонстрировать достойное поведение;
d) профессионально и эффективно исполнять свои обязанности;
e) информировать организацию, подлежащую контролю, о ее правах и обязанностях;
f) соблюдать права организации, подлежащей контролю;
g) не распространять содержание документов и информацию, с которыми проверяющее лицо ознакомилось в процессе осуществления контроля, за исключением случаев, предусмотренных законом;
h) информировать лицо, подавшее жалобу, о результатах контроля в соответствии с Законом № 133 от 8 июля 2011 г. и настоящим Положением;
i) исполнять обязанности, соблюдая принципы независимости, профессионализма и неподкупности, объективно и беспристрастно оценивать все подлежащие контролю аспекты;
j) обеспечивать целостность ценностей и документов проверяемого лица;
k) составлять акт контроля и/или по необходимости протокол о правонарушениях;
l) прилагать к акту контроля письменные объяснения представителей организации, подлежащей контролю, и/или ее сотрудников;
m) прилагать к протоколу о правонарушениях все необходимые доказательства для подтверждения отмеченных констатаций;
n) вручать организации, подвергшейся контролю, экземпляр акта контроля по его завершении.
31. В процессе осуществления контроля может быть применен метод симуляции, в рамках которого проверяющее лицо:
а) без предварительного представления, не раскрывая занимаемой должности и настоящей цели действий, воспроизводит в отношении контролера или обработчика персональных данных поведение, схожее с тем, которое описано в рассматриваемой жалобе, поданной субъектом персональных данных, и выполняет действия, навязанные ему проверяемой организацией (особенно те, которые касаются передачи требуемого объема и категорий персональных данных);
b) предпринимает ряд технических мер для симуляции модели неавторизованного доступа к системам учета персональных данных, которыми управляет организация, подлежащая контролю.
32. В случае уклонения организации, подлежащей контролю, от представления необходимых документов проверяющее лицо или руководитель группы проверяющих лиц обладает правом обратиться к полиции с целью получения помощи при осуществлении соответствующего контроля и предпринять меры, предусмотренные Кодексом о правонарушениях Республики Молдова, в целях получения доказательств, необходимых для разрешения дела.
33.Отказ от предоставления информации, предоставление недостоверной информации или препятствование доступу персонала Центра, включая: оскорбления, угрозы, сопротивление, насилие, покушение на их жизнь, здоровье, достоинство и имущество, а также на жизнь, здоровье, достоинство и имущество их близких родственников – при осуществлении должностных обязанностей влечет за собой ответственность за совершение правонарушения/уголовную ответственность в соответствии с действующим законодательством.
34.Проверяющее лицо не имеет права:
a) проверять аспекты, которые в соответствии с законом подлежат контролю со стороны других контрольных органов, если эти аспекты не связаны непосредственно с деятельностью по обработке персональных данных;
b) запрашивать и проверять документы и прочую информацию, которые не относятся к его компетенции и не соответствуют задаче контроля;
c) получать или предоставлять денежные компенсации или другие ненадлежащие преимущества;
d) нарушать сроки осуществления контроля.
Раздел 2.
Права и обязанности организации, подлежащей контролю
35. При осуществлении контроля организация, подлежащая контролю, обладает правом:Права и обязанности организации, подлежащей контролю
a) получения копии направления на контроль, решения о контроле и ознакомления со служебным удостоверением проверяющего лица, включая получение копии актов, выданных судьей, который санкционировал обыск или доступ в жилище;
b) обжалования действий проверяющего лица;
c) быть проинформированной о своих правах и обязанностях;
d) присутствовать лично или посредством назначения представителя при процедуре контроля;
e) представлять объяснения и доказательства в свою пользу;
f) требовать приложения к акту о контроле любых документов или их копий, которые организация, подлежащая контролю, имеет право подписать, давать письменное объяснение, а также требовать включения в акт пометок об определенных фактах или правах/обязанностях;
g) ознакомиться с актом контроля и протоколом о правонарушениях, составленным по завершении контроля, и получить их копии.
36. При осуществлении контроля организация, подлежащая контролю, обязана:
a) разрешить доступ в свои служебные помещения и на территорию, где расположены системы учета персональных данных, к обрабатываемым персональным данным, а также доступ к обрабатывающему оборудованию, программам и приложениям, к любому документу или записи, относящейся к обработке персональных данных (в течение рабочего времени);
b) представлять документы и информацию, которую запросило проверяющее лицо в целях осуществления контроля;
c) создавать необходимые условия и при необходимости уполномочить лицо, ответственное за политику безопасности в отношении персональных данных, или другого сотрудника для обеспечения осуществления процесса контроля;
d) в случае планового контроля обеспечить присутствие руководителя (или его заместителя) или сотрудника подразделения, ответственного за контроль (особенно лица, ответственного за политику безопасности в отношении персональных данных). В случае внезапного контроля обеспечить их присутствие, как только это будет возможно в связи с объективными обстоятельствами;
e) сотрудничать с проверяющим лицом и содействовать эффективному осуществлению контроля;
f) давать устные или письменные объяснения и предоставлять проверяющим лицам соответствующую информацию, относящуюся к предмету контроля.
37. Любое препятствование осуществлению контроля, установленного в процессе контроля, как то:
a) отсутствие организации, подлежащей контролю, или ее представителя по указанному адресу;
b) препятствование в любой форме доступу в помещения и на территорию, где расположены системы учета персональных данных, к персональным данным, обработанным контролером и/или обработчиком, к обрабатывающему оборудованию, программам и приложениям;
c) отказ предоставить запрашиваемую сотрудниками Центра в процессе осуществления контрольных функций информацию или документы, предоставление недостоверной или неполной информации, а также непредоставление запрашиваемой информации и документов в установленные законом сроки, –
будет отмечено в акте контроля и протоколе о констатации и/или протоколе о правонарушении, подписанном проверяющим лицом и представителем организации, подлежащей контролю.Факт отсутствия представителя организации или его отказ подписывать необходимые документы отмечается в протоколе и заверяется подписями минимум 2 свидетелей, указывая их идентификационные данные (фамилия, имя, год рождения, место жительства).
38. Процедура контроля завершается составлением проверяющим/ми лицом/ами в срок в 10 рабочих дней с момента завершения контроля (для плановых контролей) и максимум 3 рабочих дней с момента завершения внезапного контроля акта контроля. Исключение составляют случаи, когда результаты контроля немедленно представляются контролеру персональных данных в соответствии с положениями п.83-84 Требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1123 от 14 декабря 2010 г.
39. Акт контроля в обязательном порядке должен содержать:
a) название контрольного органа, подразделения, полное имя и должность проверяющего лица;
b) полное наименование и IDNO юридического лица и индивидуального предпринимателя, подлежащих/его контролю, № предпринимательского патента/имя, фамилия и IDNP физического лица, подлежащего контролю;
c) тип и продолжительность контроля;
d) цель и основание контроля;
e) данные об аспектах, документах (вне зависимости от носителя), имуществе, помещениях, объектах другого характера, которые были подвержены контролю и соответствуют его целям;
f) констатация (отсутствия или наличия нарушений) и результаты контроля;
g) краткие ссылки на нормы законодательных и нормативных актов, которые организация, подвергшаяся контролю, нарушила.
40. К акту контроля прилагаются:
a) копии проверенных документов, которые подтверждают/опровергают нарушение законодательства;
b) протоколы, составленные в рамках контроля;
c) данные о продолжительности контроля;
d) письменные объяснения организации, подвергшейся контролю (и лица, ответственного за политику безопасности в отношении персональных данных, по необходимости).
41.Акт контроля составляется в двух экземплярах, нумеруется и подписывается на каждой странице всеми проверяющими лицами, которые осуществили контроль, а также лицом, в отношении которого был осуществлен контроль.
Один экземпляр акта контроля вручается представителю проверяемой организации с письменным подтверждением этого факта на акте контроля. Если он отказывается подписать и принять акт контроля, проверяющее лицо делает отметку «Отказался подписывать и/или принимать акт», а акт контроля отправляется данному лицу заказным письмом с уведомлением о получении в срок не более 10 рабочих дней с момента завершения составления акта контроля.
Второй экземпляр акта контроля представляется директору Центра или лицу, исполняющему обязанности директора, с предложениями о принятии необходимого решения.
42.Организация, подвергшаяся контролю, обладает правом в течение 10 рабочих дней с момента подписания акта контроля изложить доводы несогласия с актом контроля, подтверждая их дополнительными доказательствами, в поддержку своей позиции.
43. Проверяющее лицо рассмотрит представленные материалы и в случае необходимости составит дополнительный акт контроля (не внося исправления в основной акт). В дополнительном акте контроля указывается основной акт контроля, а в основной части отражаются измененные позиции при соблюдении процедуры составления акта контроля, включая приложение документов.
44. Право изложить доводы несогласия не влияет и не ограничивает возможность опротестования акта контроля в порядке, установленном законом.
45.Акт контроля вступает в силу по истечении 30 рабочих дней со дня его предъявления указанному в нем лицу, если акт не был обжалован.
46. В случае констатации противоправных действий совершенных с виновностью, которые относятся к законным положениям в сфере защиты персональных данных и подлежащих наказанию за совершенное правонарушение (случаи, предусмотренные ст.741-743 Кодекса о правонарушениях Республики Молдова), будет начато производство о правонарушении.
47. В протоколе о правонарушении, составленном на основании собранных доказательств, в рамках производства о правонарушении должно быть отмечено следующее:
1) дата (число, месяц, год) и место составления;
2) должность, фамилия и имя констатирующего субъекта, наименование представляемого им органа;
3) идентификационные данные организации, подвергшейся контролю, и/или ее законного/ых представителя/ей;
а) в случае юридических лиц – название, расположение, IDNO, данные лица, которое его представляет (фамилия, имя, должность, документ, который устанавливает представительские полномочия);
b) в случае физического лица - фамилия, имя, IDNP, место жительства, занятие лица, в отношении которого составляется протокол, в соответствии с его удостоверением личности;
4) событие правонарушения, место и время его совершения, обстоятельства дела, имеющие значение для установления фактов и правовых последствий;
5) юридическая квалификация деяния, материальная норма правонарушения и квалификация признаков состава правонарушения, оценка возможного ущерба, причиненного правонарушением;
6) информация о разъяснении правонарушителю его прав и обязанностей, предусмотренных ст. 384 Кодекса о правонарушениях;
7) были ли сделаны копии документов и записей, относящихся к операциям по обработке персональных данных;
8) информация о вещественных доказательствах, указывая данные владельца и при необходимости меры, предпринятые для их оценки или хранения;
9) замечания и доказательства, представляемые в свою защиту лицом, в отношении которого составлен протокол о правонарушении, а также замечания и доказательства потерпевшего;
10) мотив, в связи с которым лицо, в отношении которого составлен протокол о правонарушении, и/или его законный представитель не подписал/о констатирующий протокол, с указанием идентификационных данных свидетелей (фамилия, имя, год рождения и место жительства), которые подтверждают отсутствие или отказ лица, в отношении которого составлен протокол о правонарушении;
11) если лицо, в отношении которого возбуждено производство о правонарушении, или потерпевший не владеет языком, на котором составлен протокол, ему обеспечивается помощь переводчика, сведения о котором вносятся в протокол.
48. Не допускаются исправления, дополнения, другие изменения в протоколе. В случае необходимости подобных действий составляется новый протокол, в котором делается соответствующая запись.
49. В протоколе указывается судебная инстанция, в которую протокол о правонарушении будет отправлен для рассмотрения.
50. Протоколы о правонарушениях, а также все материалы и доказательства передаются для рассмотрения по существу в компетентную судебную инстанцию, расположенную на подведомственной территории Центра.
51. Констатации противоправного действия сопутствует при необходимости вынесение решения о приостановлении или прекращении (приложение № 9) операции по обработке персональных данных в соответствии с положениями ст. 20 ч. (1) п. е) Закона № 133 от 8 июля 2011 г. или решение о исправлении, блокировании или уничтожении недостоверных или полученных незаконным путем данных в соответствии со ст. 27 ч. (3) указанного законодательного акта. Копия протокола и решения представляется лицу, подвергшемуся контролю, под расписку или отправляется заказным письмом с уведомлением о вручении.
52. Контролер или обработчик персональных данных обязан устранить обстоятельства, указанные в решении Центра в 30-дневный срок. По истечении установленного срока организация, подвергшаяся контролю, обязана представить Центру информацию об устранении нарушений.
53. Решения, указанные в п. 51, устанавливают:
a) нарушения, совершенные организацией, подвергшейся контролю, с прямыми ссылками на положения действующего законодательства;
b) инструкции в отношении устранения констатированных нарушений и приведения обработки данных в соответствие с законными положениями, при необходимости;
c) обязательство организации исполнить и проинформировать Центр в 30-дневный срок с момента получения о выполнении или обжаловании решения в порядке, предусмотренном Законом № 793 от 10 февраля 2000 г. об административном суде.
54. В случае если организация, подвергшаяся контролю, не устранила обстоятельств, послуживших основанием для вынесения решения о приостановлении операции по обработке персональных данных в установленные сроки, Центр выносит решение о прекращении операций по обработке персональных данных с распоряжением или без распоряжения о блокировании или уничтожении недостоверных или незаконно полученных персональных данных.
55. Организация, подвергшаяся контролю, обладает правом обжаловать вынесенное в результате контроля решение в судебной инстанции в соответствии с положениями Закона № 793 от 10 февраля 2000 г. об административном суде.
VI. Особые правила по осуществлению
предварительной проверки
56. В соответствии со ст. 23 ч. (1) Закона № 133 от 8 июля 2011 г. организации, которые намереваются, и/или контролеры, которые осуществляют операции по обработке персональных данных, предназначенной служить единой цели, прямо или через обработчиков обязаны уведомлять об этом Центр. Обработка персональных данных без разрешения или вне указанных пределов закона запрещена.предварительной проверки
57. Если на основании уведомления Центр установит, что обработка подпадает под одну из категорий, определенных п. 59 настоящего Положения, он распоряжается о проведении в обязательном порядке предварительной проверки, о чем информирует контролера или обработчика в 5-дневный срок после подачи уведомления.
58. Предварительная проверка проводится на основании сведений, представленных в уведомлении контролером или обработчиком, или дополнительно запрошенной информации в целях установления:
a) происхождения персональных данных;
b) используемых технологий автоматизированной обработки;
c) применяемых мер безопасности обработки персональных данных.
59. Предварительная проверка обязательна в случае уведомления об обработке персональных данных, представляющих особый риск для прав и свобод лиц, а именно:
a) операции по обработке персональных данных, являющихся объектом трансграничной передачи;
b) операции по обработке особых категорий персональных данных, а также генетических и биометрических данных и данных, которые позволяют определить географическое местонахождение лиц, в том числе для целей научных исследований;
c) операции по обработке персональных данных с помощью электронных средств, предназначенной для оценки некоторых личных аспектов, таких как профессиональная компетенция, надежность, поведение и т.п.;
d) операции по обработке персональных данных с помощью электронных средств в системах учета, предназначенной для принятия некоторых частных автоматизированных решений в связи с анализом кредитоспособности, финансово-экономического положения, деяний, которые могут повлечь дисциплинарную и уголовную ответственность, а также ответственность за совершение правонарушений физических лиц, осуществляемых лицами частного права;
e) операции по обработке персональных данных несовершеннолетних для целей коммерческого опроса (прямого маркетинга);
f) операции по обработке персональных данных несовершеннолетних, собранных посредством Интернета или электронной почты.
60. Предварительная проверка осуществляется для уточнения следующих аспектов:
1) соблюдение положений законодательства в отношении обработки персональных данных;
2) необходимость принятия дополнительных мер безопасности.
61. Срок предварительной проверки не может превышать 45 дней. При необходимости с учетом сложности операций по обработке персональных данных срок предварительной проверки может быть продлен на 45 дней, о чем извещается контролер или обработчик.
62. В 7-дневный срок после завершения предварительной проверки Центр выносит решение о:
a) разрешении начала обработки персональных данных в рамках, указанных в уведомлении;
b) разрешении начала обработки персональных данных в рамках, отличающихся от тех, которые указаны в уведомлении;
c) отказе в выдаче разрешения на обработку персональных данных.
63. Решение об отказе в выдаче разрешения на обработку персональных данных должно содержать основания отказа и при необходимости способ устранения обстоятельств, препятствующих обработке соответствующих данных (рекомендации, уведомления, решения, обязательные инструкции или другие меры по устранению установленных сложностей с соблюдением законных сроков).
64.Отказ в выдаче разрешения на обработку персональных данных не исключает возможности повторного уведомления Центра контролером после устранения обстоятельств, препятствующих обработке соответствующих данных.
65. Решения, вынесенные после окончания предварительной проверки, подписываются директором Центра или лицом, исполняющим обязанности директора.
66. Решения могут быть обжалованы в порядке, предусмотренном Законом № 793 от 10 февраля 2000 г. об административном суде.
VII. Реестр контролей
67. Реестр контролей создается и ведется Центром в автоматизированной форме в порядке, установленном действующим законодательством.68. Реестр содержит следующие данные:
a) наименование органа, подлежащего контролю;
b) номер и дата вынесения решения о контроле или предварительной проверки;
c) номер и дата вынесения направления на контроль, а также полные имена проверяющих лиц;
d) период проведения контроля;
e) тип контроля;
f) документы, составленные в результате контроля (акт контроля, решение о приостановлении/прекращении операций по обработке персональных данных, протокол о правонарушении);
g) информация об исполнении решения, вынесенного в результате осуществления контроля, или наказания за правонарушение, примененное судебной инстанцией.
69. Данные, упомянутые в пп. 1-5 п. 68, в обязательном порядке вносятся в Реестр контролей в течение 5 рабочих дней с начала контроля.
70. Не позднее 5 рабочих дней со дня внесения данных в Реестр контроля Центр передает эти данные органу центрального публичного управления, ответственному за мониторинг контроля (Государственная канцелярия), для внесения их в Государственный реестр контроля.
71. В отступление от положений п. 70, в случае, если организация, подверженная контролю, не осуществляет предпринимательскую деятельность, данные из Реестра контролей не передаются органу центральной публичного управления, ответственному за мониторинг контроля.
VIII. Ответственность
72. Лица, уполномоченные функцией контроля законности обработки персональных данных обязаны не распространять информацию ограниченного доступа, к которой они получили доступ в связи с исполнением служебных обязанностей даже после прекращения деятельности в рамках Центра.73. Лица, обвиняемые в несоблюдении положений настоящего Положения могут быть привлечены к ответственности в соответствии с гражданским и уголовным законодательством, а также законодательством в области правонарушений.
74. Информационная система учета контролей «Реестр контролей» ведется на протяжении всего периода деятельности в соответствии с положениями, установленными Законом о регистрах № 71 от22 марта 2007 г. и Требованиями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1123 от 14 декабря 2010 г.
anexa nr.1
anexa nr.2
anexa nr.3
anexa nr.4
anexa nr.5
anexa nr.6
anexa nr.7
anexa nr.8
anexa nr.9