Instuire privind legislaia i cerinele referitoare la datele

Instuire privind legislația și cerințele referitoare la datele cu caracter personal și GDPR Expert Proiect Twinning UE: Martin ESSER Activitatea Proiectulu: 2. 11 Date: 28. 10. – 01. 11. 2019 This project is funded by the European Union 1

Cuvînt de deschidere • Jekaterina MACUKA, Consilier Rezident de Twinning This project is funded by the European Union 2

Cuprins – 4 sesiuni tematice Elemente de bază privind protecția datelor personale Principiile de prelucrare și legalitatea • Definiția datelor personale • Responsabilitatea pentru implementarea măsurilor de protecție a datelor personale • Principiile fundamentale • Prelucrare legală Drepturile subiecților de date Organizarea și măsurile de protecțiea datelor personale • Informarea • Accesul • Rectificarea • Obligațiile operatorului de date și obligațiile persoanei împuternicite This project is funded by the European Union 3

Elementele de bază a datelor cu caracter personal Sesiune tematică This project is funded by the European Union 4

Ce sunt datele cu caracter personal? • Un drept fundamental • Art. 28 din Constituția Republicii Moldova („Viața privată și de familie”) • Convenția 108 (și protocolul adițional) al Consiliului Europei Statul respectă și protejează viața privată și de familie. This project is funded by the European Union 5

Conflictul obiectivelor Protecția datelor are scopul De protecție preventivă prin prelucrarea și accesul colectării restrictive bazate pe limitarea scopului și minimizarea datelor Operatorul de date dorește Să beneficieze…. . . acces nelimitat la toate datele, posibilitatea de a uni datele și de a prelucra pentru scopuri nelimitate This project is funded by the European Union 6

Ce sunt datele cu caracter personal? „Date comune” - Definiție în art. 3 Proiect de lege: Orice informație 1 ce identifică sau duce la identificarea 2 subiectului de date 3. Pot exista două categorii 4 de date personale: comune și speciale. Exemple: prenume, patronimic numărul de identificare unic, adresa, numărul de telefon, numărul de înregistrare al vehiculului, datele locației, vocea, identificatorul online sau unul sau mai mulți factori specifici identității fizice, fiziologice, economice, culturale sau sociale persoană fizică în cauză, . . . This project is funded by the European Union 7

Ce sunt datele cu caracter personal? 1) Informație • orice informație despre o persoană fizică, concept larg • informații obiective (de exemplu, tip de sânge) și subiective (de exemplu, opinia unei persoane); nu neapărat adevărat sau dovedit • Informații sub orice formă (suport hârtie sau digital) 2) Identificată sau care poate duce la identificarea • referință directă la o persoană (= identificată) • Dar și: se poate stabili o referință personală, în funcție de cunoștințele, mijloacele și posibilitățile operatorului(= identificabil) This project is funded by the European Union 8

Ce sunt datele cu caracter personal? 3) Subiectul de date • Date referitoare la persoanele vii; o persoană fizică vie poate folosi drepturile subiectului de date • Date despre persoanele decedate: Datele ar putea fi în continuare supuse protecției cu privire la dispoziții legale speciale, dar nu în conformitate cu legea privind protecția datelor • Datele privind persoanele juridice (de exemplu, compania cu răspundere limitată) nu sunt protejate 4) Două categorii de date • Date comune ( listă ne-exhaustivă în Art. 3 proiect de lege) • Date speciale ( listă exhaustivă în Art. 3 proiect de lege) This project is funded by the European Union 9

Ce sunt datele cu caracter personal? „Date speciale“- Definiția în Art. 3 proiect de lege: Categorii speciale de date cu caracter personal: date care dezvăluie originea rasială sau etnică, opinii politice, credințe religioase sau filozofice sau apartenența la sindicat și prelucrarea datelor genetice, date biometrice pentru identificarea unică a unei persoane fizice, date referitoare la sănătate sau date privind viața sexuală sau orientarea sexuală a unei persoane fizice; precum și cele referitoare la condamnări penale și infracțiuni, măsuri procedurale de constrângere sau sancțiuni contravenționale Aceste așa-numite „date sensibile” sunt protejate în mod special datorită sensibilității lor și se aplică standarde mai stricte pentru prelucrarea lor (de exemplu, art. 9 Proiectul de lege). This project is funded by the European Union 10

Datele tehnice • Datele care nu au legătură cu o persoană nu sunt protejate conform legislației privind protecția datelor; motiv: dreptul de personalitate nu este afectat • De exemplu: secrete de afaceri și companii, statistici, bilanțuri, . . . • Dar: obligația de secret (contractuală sau de lege) se poate aplica acestui tip de date This project is funded by the European Union 11

What is processing of personal data? „Prelucrarea“- definiție în Art. 3 proiect de lege: Orice operațiune sau ansamblu de operații efectuate pe date cu caracter personal sau pe seturi de date cu caracter personal, indiferent dacă sunt sau nu prin mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, regăsirea, consultarea, utilizarea, dezvăluirea prin transmitere , difuzarea sau punerea la dispoziție, alinierea sau combinarea, restricția, ștergerea sau distrugerea Practic, orice acțiune întreprinsă cu date cu caracter personal ar putea fi considerată prelucrarea datelor cu caracter personal. This project is funded by the European Union 12

Responsabilitatea pentru protecția datelor CNPDCP: oferă consiliere, sprijin, monitorizează, investighează, sancționează Datenschutzbeauftragte/r Responsabilul de wirkt auf die Einhaltung des Protecția Datelor : Datenschutzes in der oferă consiliere, sprijin, gesamten Behörde hin monitorizează, (dar nu este responsabil de legalitatea prelucării autorității publice Director Manager Personal This project is funded by the European Union responsabil general pentru protecția datelor (intern și extern) implementează reglementări legale și interne de protecție a datelor, monitorizează respectarea acestora respectă regulile de protecție a datelor și protejază împotriva accesului neautorizat 13

Responsabilitatea pentru protecția datelor • Pentru activități de prelucrare a datelor cu caracter personal: unitatea organizațională responsabilă pentru sarcina de prelucrare (de ex. Divizie, subdiviziune, unitate) este responsabilă pentru protecția datelor. • Pentru măsuri generale în domeniul protecției datelor, de ex. evaluări de impact privind protecția datelor, măsuri de securitate a datelor, numirea responsabilul de protecție a datelor, registrul, gestionarea raportării încălcărilor de date: unitatea organizatorică căreia i-au fost repartizați aceste evaluări ØResponsabilitățile trebuie clarificate • Responsabilitatea generală: conducerea / directorul autorității publice • NB: responsabilul de protecția datelor nu este responsabil pentru prelucrarea legală a autorității publice și nu este responsabil pentru punerea în aplicare a măsurilor tehnice și organizatorice adecvate This project is funded by the European Union 14

Exercițiu • Fiece grup: Ce date cu caracter personal prelucrează autoritățile dvs. ? Vă rugăm să creați o listă și să sortați această listă după următoarele criterii: 1) Categoria obișnuită de date personale 2) Categoria specială de date 3) Sursa datelor This project is funded by the European Union 15

Principiile prelucrării și legalitatea Sesiune tematică 2 This project is funded by the European Union 16

Principii fundamentale, Art. 4 Proiect de Legal, corect, transparent Limitarea legată de scop Minimizarea datelor • Prelucrarea în mod legal, echitabil și transparent în ceea ce privește subiectul de date. • Colectarea de date pentru scopuri determinate, explicite și legitime • Nici o prelucrare suplimentară într-un mod incompatibil cu scopurile pentru care au fost colectate datele • Prelucrarea se limitează la ceea ce este necesar pentru atingerea scopului pentru care datele cu caracter personal sunt prelucrate. This project is funded by the European Union 17

Principii fundamentale, Art. 4 Proiect de Lege Exactitate Perioada de stocare Integritate și confidențialitate • Datele trebuie să fie corecte și, după caz, actualizate • se vor întreprinde acțiunile necesare pentru ca datele inexacte să fie distruse, rectificate sau șterse • Datele vor fi stocate numai pentru perioada necesară pentru atingerea scopurilor pentru care sunt prelucrate datele. • Datele sunt protejate prin măsuri de securitate adecvate și trebuie protejate împotriva prelucrării neautorizate și ilegale și împotriva pierderilor, distrugerii și daunelor accidentale sau ilegale This project is funded by the European Union 18

Prelucrarea legală a datelor personale • Prelucrarea are nevoie de temei legal • Motivele legale sunt enumerate în art. 5 proiect de lege • Motivele legale impun condiții specifice care trebuie îndeplinite pentru a fi aplicabile • Utilizați cel mai potrivit temei legal This project is funded by the European Union 19

Prelucrare corectă și transparentă • Evaluarea efectului asupra intereselor persoanelor în cauză • Ar trebui explicate riscurile, regulile, garanțiile și drepturile • Limbaj simplu și de înțeles • Ușor accesibil This project is funded by the European Union 20

Drepturile subiecților de date – privire generală Permisiune Consimțămînt Intervenție Informare Plîngere Dreptul de a retrage Responsabilul de consimțământul Protecția Datelor Dreptul la opoziție Dreptul la ștergere Dreptul de a obiecta Autoritatea de Protecție a Datelor Dreptul la ștergere Dreptul de a fi uitat Dreptul la restricționarea prelucrarea Dreptul la restricționarea procesării Despăgubire Răspundere și despăgubire Dreptul la rectificare This project is funded by the European Union 21

Limitarea legată de scop • Scopul trebuie să fie • • explicit legitim determinat latimpul colectării Efect secundar pozitiv: permite operatorului de date să-și organizeze mai bine procesul însuși. • Scopul nu este un secret: subiectul de date trebuie să fie conștient de scopul prelucrării datelor (dreptul persoanei la informații, art. 18 Proiectul de lege) • Schimbarea scopului: • Scopurile pot fi schimbate atunci când noul scop este compatibil cu scopul inițial • scopurile de interes public, scopurile de cercetare științifică sau istorică sau scopuri statistice nu ar trebui considerate a fi incompatibile cu scopurile inițiale. This project is funded by the European Union 22

Minimizarea datelor • Datele trebuie să fie adecvate, relevante și limitate la ceea ce este necesar • Prelucrarea datelor cu caracter personal pe o bază „necesară cunoașterea”, dar ceea ce este necesar pentru atingerea scopului este corect • Păstrarea datelor trebuie limitată la minimul necesar; • Doar suma potrivită pentru a atinge un scop legal și corect; • Revizuire periodică ØEfect secundar pozitiv: un scop determinat și explicit este foarte important pentru a determina ce date sunt necesare This project is funded by the European Union 23

Exactitatea datelor • Responsabilitatea exactității revine operatorului • Mecanisme de control asupra exactității datelor • Precizie în aplicarea legii • Dreptul subicetului de date la rectificare • Actualizarea informațiilor pe care le are operatorul • Posibilitatea de a restricționa prelucrarea datelor This project is funded by the European Union 24

Perioada de stocare/ Limitarea legată de stocare • Definiția preliminară a timpului de stocare • Perioada de păstrare pentru fiecare set de date • Efect secundar pozitiv: Utilizarea registrului de date cu caracter personal ca instrument pentru monitorizarea perioadelor de păstrare? ØCa regulă generală : nu veți mai stoca date atunci nu este nevoie pentru scopul dvs. ! This project is funded by the European Union 25

Integritatea și confidențialitatea datelor • Acces la date • Securitate și acces restricționat de la terți • Managementul și analiza riscurilor • Măsuri tehnice și organizatorice adecvate This project is funded by the European Union 26

Legalitatea prelucrării: test rapid Consimțămîntul subiectului de date Semnarea sau executarea unui contract Obligația legală Interes vital Interes public/ exercitarea unei autorități publice Interes legitim This project is funded by the European Union 27

Legalitatea prelucrării, Art. 5 proiect de lege Consimțămîntul subiectului de date a)Subiectul de date și-a dat consimțământul pentru prelucrare; se aplică condițiile privind consimțământul (art. 8 proiect de lege) Încheierea sau executarea unui contract b)Prelucrarea este necesară pentru încheierea sau executarea unui contract Obligația legalp c) Prelucrarea este necesară pentru a îndeplini obligația legală a operatorului This project is funded by the European Union 28

Legalitatea prelucrării, Art. 5 proiect de lege Interes vital d)Prelucrarea este necesară pentru a proteja viața, integritatea fizică sau sănătatea Interes public/exercitarea unei autorități publice e)Prelucrarea se realizează pentru a servi un interes public sau pentru a exercita puterile autorității publice Interes legitim f) Prelucrarea este necesară pentru interesele legitime urmărite de operator, cu excepția cazului în care acestea sunt supravegheate de interesele subiectului de date This project is funded by the European Union 29

Consimțămîntul subiectului de date, Art. 8 proiect de lege • Subiectul de date și-a dat consimțământul prealabil pentru prelucrarea datelor sale personale pentru unul sau mai multe scopuri specifice • „Consimțământ” al subiectului de date înseamnă orice indicație liberă, specifică, informată și lipsită de ambiguitate a dorințelor subiectului de date, prin care acesta, printr-o declarație sau printr-o acțiune afirmativă clară, înseamnă un acord cu privire la prelucrarea datelor cu caracter personal referitoare la acesta sau ea • Operatorul ar trebui să poată demonstra că subiectul de date a consimțit la prelucrare • Dacă consimțământul într-un document care se referă la alte aspecte, consimțământul ar trebui să fie clar distinct • Subiectul de date ar trebui să poată retrage consimțământul în orice moment This project is funded by the European Union 30

Consimțămîntul subiectului de date: două aspecte de reținut 1) Informațiile furnizate subiectului de date nu înlocuiesc consimțământul. Consimțământul este un temei legal (legalitate) pentru prelucrarea datelor cu caracter personal. Informarea subiectului de date este un drept al subiectului de date și o obligație a operatorului. 2) În sectorul public, prelucrarea ar trebui să se bazeze de preferință pe un temei legal (interesul public / exercitarea autorității publice) pentru a îndeplini sarcina principală a unui organism public. Consimțământul este mai important în sectorul privat. This project is funded by the European Union 31

Obligația legală • Prelucrarea este necesară pentru respectarea unei obligații legale la care este supus operatorul • nu numai legea, ci orice obligație legală • temei legal sau măsura legală ar trebui să fie clară și precisă • Subiecții dedate ar trebui să fie informate că baza prelucrării este legea și că ar putea exista restricții în exercitarea drepturilor subiecților de date This project is funded by the European Union 32

Interes public/ exercitarea unei autorități publice • Prelucrarea este necesară pentru îndeplinirea unei sarcini desfășurate în interesul public sau în exercitarea autorității oficiale învestite în operatorul de date • În principal pentru organismele / autoritățile publice • Scopurile trebuie să fie prevăzute în lege pentru ca acest motiv să fie aplicabil • De obicei, se aplică în cazul în care operațiunile precise de prelucrare a datelor nu sunt stipulate în acte juridice This project is funded by the European Union 33

Legalitatea prelucrării: rezumat Obligația legală • Obligația legală obligatorie de prelucrare a datelor personale (+) Interes public/exercitarea unei autorități publice • Autoritate oficială atribuită operatorului de date (+) Consimțămîntul subiectului de date • Dat în mod liber de cetățean? (-) / (+), dat în mod liber în contextul angajării? (-) Interes legitim • Nu poate fi invocat de autorități publice ! (-) This project is funded by the European Union 34

Exercițiu • Fiecare grup: În baza cărui temei legal prelucrați datele? Vă rugăm să sortați datele cu caracter personal identificate în exercițiul sesiunii tematice 1 This project is funded by the European Union 35

Drepturile subiecților de date Sesiune tematică 3 This project is funded by the European Union 36

Sesiune tematică 3 • Prezentată de Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) This project is funded by the European Union 37

Organizarea și măsurile de protecție a datelor personale Sesiune tematică 4 This project is funded by the European Union 38

Privire generală • Desemnarea unui responsabil de protecția datelor, art. 42 Proiect de lege • Prelucrarea în numele operatorului, art. 33 Proiect de lege / controlul comun, art. 31 Proiect de lege • Evidența activităților de prelucrare, art. 35 Proiect de lege • Securitatea prelucrării, art. 36 Proiect de lege • Notificarea încălcării securității datelor, art. 37, 38 Proiect de lege • Evaluarea impactului asupra protecției datelor, art. 40 This project is funded by the European Union 39

Responsabilul de protecția datelor (DPO) • Desemnarea • obligatoriu pentru toate autoritățile publice (cu excepția instanțelor judecătorești care acționează în calitate de justiție, dar nu pentru partea administrativă a instanței); • în cazul în care constau principalele activități ale operatorului sau ale persoanei împuternicite • operațiuni de prelucrare care, în funcție de natura lor, sfera lor de aplicare și / sau scopurile lor, necesită o monitorizare regulată și sistematică a subiecților de date pe scară largă; sau • prelucrarea pe o scară largă de categorii speciale de date Desemnarea necesită cunoștințe de specialitate în domeniul protecției datelor sau securității informaționale și capacitatea de a îndeplini sarcinile DPO This project is funded by the European Union 40

Responsabilul de protecția datelor (DPO) • DPO poate fi un membru al personalului (DPO intern) sau poate îndeplini sarcinile pe baza unui contract de servicii (DPO extern) • Datele de contact ale DPO vor fi publicate pe pagina web oficială a operatorului • Sarcinile DPO sunt prevăzute la art. 44 proiect de lege (informați, sfătuiți, monitorizați) • Poziția DPO: • nu va primi nicio instrucțiune cu privire la exercitarea sarcinilor sale • raportează direct la cel mai înalt nivel de management al operatorului This project is funded by the European Union 41

Prelucrarea în numele operatorului de date/control comun În cazul în care un operator colaborează la prelucrarea datelor cu alte entități, trebuie respectate cerințele speciale: • o altă entitate prelucrează datele în numele operatorului de date: • “relația operator-persoană împuternicită”: un contract special trebuie să fie semnat (Art. 33 proiect de lege) • operatorul de date și altă entitate / entități ce determină în comun scopurile și/sau mijloacele de prelucrare : • “control comun”: ”: un contract special trebuie să fie semnat (Art. 31 proiect de lege) Øimportant de știut pentru: unitate de achiziții, unitate legală, unitate IT și / sau orice altă unitate competentă pentru contractele cu externe și schimbul de date This project is funded by the European Union 42

Evidența activităților de prelucrare a datelor Înregistrările activităților de prelucrare trebuie să conțină informații cu privire la fiecare activitate de prelucrare 1) Scopul și temeiul legal al activității de prelucrare 2) Categorii de subiecți de date și date cu caracter personal 3) Destinatari ai datelor, inclusiv destinatarii din alte țări 4) Dacă este cazul, transferați în alte țări sau organizații internaționale 5) Perioade de păstrare / limitare de depozitare 6) Descrierea măsurilor de securitate tehnică și organizațională This project is funded by the European Union 43

Securitatea datelor Protecția datelor by design Protecția datelor by default • Art. 36 Proiect de lege • Nivel de securitate adecvat riscului • Măsuri tehnice și organizatorice, de ex. limitarea accesului, transferul criptat de date • Art. 30 Proiect de lege • Minimizarea datelor și garanțiile corespunzătoare trebuie luate în considerare la proiectarea procesării datelor • Art. 30 Proiect de lege • În mod implicit, trebuie să fie implementate măsuri tehnice și organizatorice adecvate This project is funded by the European Union 44

Notificarea privind încălcarea securității datelor personale Încălcarea securității care duce la distrugerea accidentală sau ilegală, pierderea, dezvăluirea sau accesarea la datele stocate sau prelucrate Notificarea. NCPDP în 72 ore Informarea subiectului de date fără întîrzieri nejustificate dacă există un risc față de drepturile și libertățile persoanelor fizice dacă există un risc ridicat pentru drepturile și libertățile persoanelor fizice This project is funded by the European Union 45

Evaluarea impactului asupra datelor personale • DPIA este obligatorie pentru prelucrarea datelor cu caracter personal care poate duce la un risc ridicat pentru drepturile și libertățile subiectului de date ØDe exemplu. în cazul în care comportamentul angajaților este monitorizat pe scară largă, aceasta poate duce la un risc ridicat • Evaluarea impactului operațiunii de prelucrare asupra subiectului de date • Evaluarea dacă măsurile tehnice și organizaționale luate sunt adecvate pentru a reduce riscul • Cerințe minime pentru un DPIA la art. 40 proiect de lege This project is funded by the European Union 46

Exercițiu • Fiece grup: Creați un checklist pentru a implementa protecția datelor personale în instituția dv. 1) Ce pași trebuie luați? 2) Ce măsuri trebuie implementate? This project is funded by the European Union 47

Concluzii • Jekaterina MACUKA, Consilier Rezident de Twinning • Martin ESSER, Expert Twinning • Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) Thank You This project is funded by the European Union 48