Неофициальный перевод

ЗАКОН РЕСПУБЛИКИ МОЛДОВА

от 25 июля 2024 года №195

О защите персональных данных

Парламент принимает настоящий органический закон.

Настоящий закон перелагает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент о защите персональных данных), опубликованный в Официальном журнале Европейского Союза L 119/1 от 4 мая 2016 года, CELEX: 32016R0679.

Глава I Общие положения

Статья 1. Предмет и цель закона

(1) Настоящий закон устанавливает правовую базу, касающуюся:

a) защиты физических лиц в связи с обработкой персональных данных;

b) организации и функционирования Национального центра по защите персональных данных (далее также – Центр);

c) надзора за применением законодательства в области защиты персональных данных;

d) правовой ответственности и наказаний, применяемых за нарушение законодательства в области защиты персональных данных.

(2) Целью настоящего закона является обеспечение защиты основных прав и свобод физических лиц, в частности права на интимную, семейную и частную жизнь в связи с обработкой персональных данных.

Статья 2. Материальная область применения

(1) Настоящий закон применяется к обработке персональных данных, осуществляемой полностью или частично автоматизированными средствами, равно как и к обработке персональных данных иными средствами, кроме автоматизированных, составляющими часть системы учета данных или предназначенными для включения в систему учета данных.

(2) Настоящий закон не применяется к обработке персональных данных:

a) отнесенных к государственной тайне, которая осуществляется в соответствии с Законом о государственной тайне №245/2008, в той мере, в которой это необходимо для защиты национальной безопасности и обороны и соразмерно с этой защитой;

b) физическим лицом исключительно для личных или бытовых нужд;

c) выполняемой компетентными органами в целях предупреждения, расследования, выявления или уголовного преследования преступлений, равно как и в целях исполнения уголовных наказаний, в том числе защиты от угроз для общественной безопасности и их предупреждения;

d) касающихся умерших лиц, за исключением случая, предусмотренного статьей 52.

(3) Настоящий закон не затрагивает положения Закона об услугах информационного общества №284/2004, в частности нормы, касающиеся ответственности поставщиков услуг и посредников, которые предусмотрены статьями 14–17 указанного закона.

Статья 3. Территориальная область применения

(1) Настоящий закон применяется к обработке персональных данных в рамках деятельности, осуществляемой в месте нахождения оператора или лица, действующего по поручению оператора, на территории Республики Молдова, независимо от того, осуществляется ли обработка на территории Республики Молдова или за ее пределами.

(2) Настоящий закон применяется к обработке персональных данных имеющих место нахождения на территории Республики Молдова субъектов персональных данных оператором или лицом, действующим по поручению оператора, не имеющим места нахождения в Республике Молдова, в случае, когда деятельность по обработке связана:

a) с предоставлением товаров или услуг таким субъектам персональных данных в Республике Молдова, независимо от того, запрашивается ли оплата от соответствующего субъекта; или

b) с мониторингом их поведения, если таковое проявляется в Республике Молдова.

(3) Настоящий закон применяется к обработке персональных данных дипломатическими представительствами и консульскими учреждениями Республики Молдова, а также иными операторами, не имеющими места нахождения в Республике Молдова, если законодательство Республики Молдова применяется на основании международного публичного права.

Статья 4. Понятия

В целях настоящего закона используются следующие понятия:

персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (далее – субъект персональных данных). Идентифицируемым физическим лицом является лицо, которое может быть прямо или косвенно идентифицировано, в частности, посредством ссылки на определяющий элемент, такой как имя, идентификационный номер, сведения о месте нахождения, онлайновый идентификатор, либо на один или несколько специфичных элементов, присущих его физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности;

обработка – любое действие (операция) или совокупность действий (операций), совершаемых с использованием автоматизированных средств или без использования таких средств с персональными данными или совокупностью персональных данных, включая сбор, регистрацию, систематизацию, структурирование, хранение, уточнение или изменение, извлечение, ознакомление, использование, раскрытие путем передачи, распространение или предоставление доступа любым иным способом, упорядочение или комбинирование, ограничение, удаление или уничтожение;

ограничение обработки – маркировка хранящихся персональных данных в целях ограничения их дальнейшей обработки;

профайлинг – любая форма автоматизированной обработки персональных данных, которая заключается в использовании персональных данных для оценки определенных личных аспектов, касающихся физического лица, в частности для анализа или прогнозирования аспектов, связанных с производительностью труда, экономической ситуацией, состоянием здоровья, личными предпочтениями, интересами, надежностью, поведением, местом нахождения этого физического лица или с его передвижениями;

псевдонимизация – обработка персональных данных, в результате которой становится невозможным без использования дополнительной информации отнесение персональных данных к конкретному субъекту персональных данных при условии отдельного хранения такой дополнительной информации и применения к ней технических и организационных мер, которые обеспечивают предотвращение отнесения этих персональных данных к идентифицированному или идентифицируемому физическому лицу;

система учета данных – любая структурированная совокупность персональных данных, доступных в соответствии с конкретными критериями, независимо от того, являются ли такие данные централизованными, децентрализованными или распределенными по функциональным или географическим критериям;

оператор – физическое или юридическое лицо, орган публичной власти, агентство или иной орган, которые самостоятельно или совместно с другими определяют цели и средства обработки персональных данных. Если цели и средства обработки устанавливаются нормативными актами, оператор или конкретные критерии его назначения определяются соответствующими нормативными актами;

лицо, действующее по поручению оператора, – физическое или юридическое лицо, орган публичной власти, агентство или иной орган, которые от имени оператора обрабатывают персональные данные;

место нахождения – место фактического и действительного осуществления деятельности в рамках стабильных договоренностей;

получатель – физическое или юридическое лицо, орган публичной власти, агентство или иной орган, которым раскрываются персональные данные, независимо от того, являются ли они третьей стороной. Не считаются получателями органы публичной власти, которым персональные данные могут сообщаться в ходе отдельного расследования в соответствии с нормативными актами; обработка таких данных соответствующими органами публичной власти осуществляется с соблюдением применимых правил в области защиты персональных данных в соответствии с целями обработки;

третья сторона – физическое или юридическое лицо, орган публичной власти, агентство или иной орган, кроме субъекта персональных данных, оператора, лица, действующего по поручению оператора, и лиц, которые под непосредственным руководством оператора или лица, действующего по поручению оператора, уполномочены осуществлять обработку персональных данных;

согласие – любое свободное, конкретное, информированное и недвусмысленное волеизъявление, посредством которого субъект персональных данных однозначным заявлением или действием выражает согласие на обработку касающихся его персональных данных;

нарушение безопасности персональных данных – нарушение защищенности, случайным или незаконным образом приведшее к уничтожению, утрате, изменению или несанкционированному раскрытию переданных, хранящихся или иным способом обработанных персональных данных, равно как и к несанкционированному доступу к этим данным;

генетические данные – персональные данные, относящиеся к унаследованным или приобретенным генетическим характеристикам физического лица, которые предоставляют уникальную информацию о физиологических особенностях или состоянии здоровья этого физического лица, и получаемые, в частности, в результате анализа образца биологического материала, взятого у соответствующего физического лица;

биометрические данные – персональные данные, получаемые в результате специальных процедур обработки, относящиеся к физическим, физиологическим или поведенческим особенностям физического лица, дающим возможность установить или подтвердить его уникальную идентификацию, например, изображение лица или дактилоскопические данные;

данные о состоянии здоровья – персональные данные, связанные с состоянием физического или психического здоровья физического лица, в том числе с оказанием услуг медицинской помощи, которые раскрывают сведения о состоянии его здоровья;

национальный идентификационный номер – номер, посредством которого идентифицируется физическое лицо в определенных системах учета и который имеет общее применение, например, государственный идентификационный номер, серия и номер удостоверения личности, номер паспорта, водительского удостоверения;

представитель – физическое или юридическое лицо с местом нахождения в Республике Молдова, назначенное в письменной форме оператором или лицом, действующим по поручению оператора, в соответствии со статьей 27, которое представляет оператора или лицо, действующее по поручению оператора, в связи с исполнением обязанностей, возложенных на него в соответствии с настоящим законом;

предприятие – физическое или юридическое лицо, осуществляющее экономическую деятельность, независимо от его организационно-правовой формы, в том числе в виде партнерства или объединений, регулярно осуществляющих экономическую деятельность;

группа предприятий – предприятие, осуществляющее контроль, и контролируемые им предприятия;

обязательные корпоративные правила – политика в области защиты персональных данных, которая должна соблюдаться оператором или лицом, действующим по поручению оператора, имеющим место нахождения на территории Республики Молдова, при передаче персональных данных или совокупности персональных данных оператору или лицу, действующему по поручению оператора, в одном или нескольких государствах, на территории которых они осуществляют деятельность в составе группы предприятий или в составе осуществляющих совместную экономическую деятельность предприятий;

общий оборот – оборот, используемый в значении, определенном статьей 4 Закона о конкуренции №183/2012;

услуги информационного общества – услуги, используемые в значении, определенном статьей 4 Закона об услугах информационного общества №284/2004;

прямой маркетинг – передача по телефону, почте или иным средством прямой связи рекламных или маркетинговых сообщений (по продвижению товаров или услуг), рассылаемых частным лицам;

международная организация – организация и ее подведомственные органы, регулируемые международным публичным правом, или иной орган, созданный соглашением, заключенным между двумя или более государствами, или на основе такого соглашения.

Глава II Принципы

Статья 5. Принципы обработки

(1) Персональные данные должны:

a) обрабатываться на законной, справедливой и прозрачной основе в отношении субъекта персональных данных (принцип законности, справедливости и прозрачности);

b) подвергаться сбору в определенных, понятных и законных целях и в дальнейшем не должны обрабатываться в порядке, несовместимом с указанными целями. Последующая обработка, осуществляемая в целях архивирования в общественных интересах, в целях проведения научных или исторических исследований либо в статистических целях, несовместимой с изначальными целями в соответствии с частью (1) статьи 54 (принцип ограничения, связанного с целью) не признается;

c) отличаться адекватностью, релевантностью и ограничиваться целями, для которых они обрабатываются (принцип минимизации данных);

d) отличаться точностью, а в необходимых случаях должны обновляться. Исходя из целей обработки, должны приниматься все необходимые меры для обеспечения незамедлительного удаления или исправления неточных персональных данных (принцип точности);

e) храниться в форме, позволяющей идентифицировать субъектов персональных данных в течение срока, не превышающего срок, необходимый для достижения целей обработки персональных данных. Персональные данные могут храниться в течение более длительных сроков в той мере, в какой они должны обрабатываться исключительно в целях архивирования в общественных интересах, в целях проведения научных или исторических исследований либо в статистических целях, в соответствии с частью (1) статьи 54 при условии применения предусмотренных настоящим законом соответствующих мер технического и организационного порядка для обеспечения прав и свобод субъекта персональных данных (принцип ограничения, связанного с хранением);

f) обрабатываться в порядке, обеспечивающем надлежащую безопасность персональных данных, в том числе защиту от несанкционированной или незаконной обработки и от случайной утраты, уничтожения или повреждения, путем принятия соответствующих технических или организационных мер (принцип целостности и конфиденциальности).

(2) Оператор несет ответственность за соблюдение части (1) и должен быть готовым доказать ее соблюдение (принцип ответственности).

Статья 6. Законность обработки

(1) Обработка является законной только в том случае и в том объеме, в которых соблюдается по меньшей мере одно из следующих условий:

a) субъект персональных данных дал согласие на обработку своих персональных данных с целью достижения одной или нескольких конкретных целей;

b) обработка необходима для выполнения договора, стороной которого является субъект персональных данных, или для принятия определенных мер по запросу субъекта персональных данных перед заключением договора;

c) обработка необходима для выполнения предусмотренного законом обязательства оператора;

d) обработка необходима для защиты жизненно важных интересов субъекта персональных данных или другого физического лица;

e) обработка необходима для выполнения поставленной в общественных интересах задачи или при осуществлении официальных полномочий, возложенных на оператора;

f) обработка необходима для обеспечения законных интересов, преследуемых оператором или третьей стороной, за исключением случая, когда интересы или основные права и свободы субъекта персональных данных превалируют, что требует защиты его персональных данных, как, например, в случае, когда субъектом персональных данных является ребенок.

(2) Персональные данные могут обрабатываться в соответствии с пунктом е) части (1), если обработка необходима:

a) для выполнения в общественных интересах задачи, которая вытекает из нормативных актов;

b) для осуществления оператором функций или обязанностей, предусмотренных нормативными актами.

(3) Основания для обработки, указанной в пунктах с) и е) части (1) и части (2), должны предусматриваться законодательством Республики Молдова.

(4) Пункт f) части (1) не применяется в случае обработки, осуществляемой органами публичной власти при исполнении своих обязанностей.

(5) Если обработка с целью, отличной от цели, для достижения которой был осуществлен сбор персональных данных, не основана на согласии субъекта персональных данных или на нормативных актах, которые представляют необходимую и соразмерную меру в демократическом обществе для защиты целей, указанных в части (1) статьи 23, оператор для определения совместимости цели осуществляемой обработки с целью, для которой изначально были собраны персональные данные, принимает во внимание, помимо прочего:

a) любую связь между целями, для которых был осуществлен сбор персональных данных, и целями запланированной дальнейшей обработки;

b) контекст, в котором был осуществлен сбор персональных данных, в частности, в плане отношений между субъектами персональных данных и оператором;

c) характер персональных данных, в частности, в случае, если обрабатываются особые категории персональных данных в соответствии со статьей 9, или в случае, если обрабатываются персональные данные, касающиеся уголовных приговоров и преступлений, в соответствии со статьей 10;

d) возможные последствия запланированной дальнейшей обработки для субъектов персональных данных;

e) наличие надлежащих гарантий, которые могут включать шифрование или псевдонимизацию.

Статья 7. Условия, касающиеся согласия

(1) Если обработка основывается на согласии, оператор должен иметь возможность доказать, что субъект персональных данных дал согласие на обработку.