Centrul naţional pentru protecţia datelor cu caracter personal al republicii moldova



Yüklə 78,5 Kb.
tarix30.10.2017
ölçüsü78,5 Kb.
#22701
CENTRUL NAŢIONAL PENTRU PROTECŢIA DATELOR CU CARACTER PERSONAL AL REPUBLICII MOLDOVA

bw_antet

MD-2004, mun. Chişinău, str. Serghei Lazo, 48, tel: (+373-22) 820801, 811807, fax: 820807, www.datepersonale.md

ORDIN nr. _____

__” 2016 mun. Chişinău



Cu privire la aprobarea Instrucţiunilor

privind prelucrarea datelor cu caracter personal

în sectorul financiar-bancar și microfinanțare

În temeiul art. 20 alin. (1) lit. c) al Legii nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal, Capitolul II art. 3 lit. e2) al Regulamentului Centrului Naţional pentru Protecţia Datelor cu Caracter Personal, structurii, personalului-limită şi a modului de finanţare a Centrului Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova, aprobat prin Legea nr. 182-XVI din 10 iulie 2008,
ORDON:


  1. Se aprobă Instrucţiunile privind prelucrarea datelor cu caracter personal în sectorul financiar-bancar și de microfinanțare (se anexează);

  2. Banca Naţională a Moldovei (BNM) şi Comisia Naţională a Pieţei Financiare a Republicii Moldova (CNPF),instituțiile financiar-bancare și cele ce desfășoară activitatea de microfinanțare, vor pune în aplicare Instrucţiunile în cadrul adaptării procedurilor de prelucrare a datelor cu caracter personal, la principiile statuate de legislaţia care reglementează domeniul protecţiei datelor cu caracter personal;

  3. Prezentele Instrucțiuni vor intra în vigoare în termen de 6 luni din momentul publicării acestora în Monitorul Oficial.

  4. La scurgerea a 5 luni din termenul stabilit la pct. 2.3 al prezentului Ordin, entitățile vizate în implementarea acestor reglemenetări, urmează să raporteze Centrului gradul de implementare a Instrucțiunilor, precum și sînt în drept să înainteze obiecții/propuneri în vederea revizuirii după caz, a cerințelor acestui act normativ.

  5. Direcţia evidenţă şi control va asigura plasarea Instrucțiunilor privind prelucrarea datelor cu caracter personal în sectorul financiar pe pagina web oficială a Centrului Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (www.datepersonale.md) și publicarea în Monitorul Oficial.

Vitalie PANIŞ

Director

INSTRUCŢIUNI

privind prelucrarea datelor cu caracter personal în sectorul

financiar-bancar și de microfinanțare



PREAMBUL

Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (Centrul),



avînd în vedere:

  • importanţa, rolul şi atribuţiile funcţionale cu care este învestită Banca Naţională a Moldovei (BNM) și Comisia Națională a Pieței Financiare a Republicii Moldova (CNPF), nefiind atins/prejudiciat obiectivul fundamental al acestora, în raport cu calitatea de diriguitori ai mecanismului financiar naţional;

  • volumul, categoriile şi operaţiunile de prelucrare a datelor cu caracter personal, ce rezultă din obiectivele stabilite de către BNM și CNPF - în calitate de autorități de control;

  • practica neuniformă de aplicare a principiilor statuate de Legea privind protecţia datelor cu caracter personal, de către instituţiile financiare;

  • inexistenţa garanţiilor suficiente de protecţie a datelor cu caracter personal în textul actelor legislative/normative de profil financiar - bancar;

  • absenţa unui regim armonizat privind operaţiunile de prelucrare a datelor cu caracter personal în sistemul financiar-bancar precum și a activității de microfinanțare, fiind necesare măsuri suplimentare de protecţie, pentru a împiedica şi/sau a preveni colectarea, stocarea, extragerea şi prelucrarea datelor cu caracter personal în sistemele de evidenţă existente deja în cadrul entităților financiar-bancare;

  • protejarea drepturilor fundamentale ale persoanei, în special a dreptului la viaţa privată în ceea ce priveşte prelucrarea datelor cu caracter personal;

  • necesitatea ajustării operaţiunilor de prelucrare a datelor cu caracter personal la principiile statuate de Legea privind protecţia datelor cu caracter personal,

întrucît:

  • domeniul financiar-bancar reprezintă veriga securității economice a Republicii Moldova;

  • instituțiile financiar-bancare în calitate de principali actori care operează datele cu caracter personal ale subiecților de date/clienți/eventuali clienți;

  • progresul tehnologic actual impune trecerea la metode automatizate de prelucrare a datelor cu caracter personal, care, indubitabil vizează și/sau vor viza fiecare individ, indiferent de apartenența politică, sex, culoare etc., care participă și/sau intenționează să participe la tranzacționarea unor beneficii economice;

  • extragerea și reutilizarea neautorizată a conținutului unei baze de date poate avea consecințe tehnice și economice grave;

  • sistemele informaționale automatizate reprezintă un instrument vital la operarea sistemului financiar-bancar național, precum și la tranzacționarea transfrontalieră a datelor cu caracter personal;

  • creșterea economică şi asigurarea socială conduce în mod necesar la creşterea fluxului de date cu caracter personal între cei implicaţi, în calitate de participanţi privaţi sau publici, la activitatea economică şi socială naţională;

a elaborat prezentele Instrucţiuni privind prelucrarea datelor cu caracter personal în sectorul financiar-bancar și de microfinanțare .

  1. DISPOZIŢII GENERALE



  1. Instrucţiunile privind prelucrarea datelor cu caracter personal în sectorul financiar-bancar (Instrucţiunile) au fost elaborate, ţinîndu-se cont de prevederile Convenţiei pentru apărarea drepturilor omului şi a libertăţilor fundamentale; Convenţiei pentru protecţia persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal; Convenției Consiliului Europei împotriva Spălării Banilor; Convenției ONU împotriva corupției; Convenției penale privind corupția; Legii privind protecţia datelor cu caracter personal; Codului civil; Codului de procedură civilă; Legii cu privire la Banca Naţională a Moldovei; Legii instituţiilor financiare; Legii cu privire la organizațiile de microfinanțare; Legii privind reglementarea valutară; Legii cu privire la serviciul de plată şi monedă electronică; Legii cu privire la prevenirea şi combaterea spălării banilor şi finanţării terorismului; Legii privind societăţile pe acţiuni; Legii cu privire la antreprenoriat şi întreprinderi; Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010; Regulamentului Registrului de evidenţă al operatorilor de date cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 296 din 15 mai 2012; ținînd cont de atribuțiile BNM, CNPF și de domeniile de activitate ale instituțiilor financiare, fără a atinge sfera de competenţă a BNM și CNPF.

  2. Instrucţiunile servesc în calitate de linii directorii în scopul aducerii operaţiunilor de prelucrare a datelor cu caracter personal efectuate de către instituțiile financiar-bancare organizațiile de microfinanțare, precum și de către alte entități a căror profil de activitate vizează activitatea de microfinanțare, în conformitate cu principiile statuate de Legea privind protecţia datelor cu caracter personal şi bunele practici în domeniu.

  3. Reglementările prescrise în prezentele Instrucțiuni, sînt obligatorii față de operatorii implicați în operațiunile de prelucrare a datelor cu caracter personal în sectorul financiar-bancar și cel al activităților de microfinanțare, avînd drept scop asigurarea nivelului adecvat instituțional de protecție a datelor cu caracter personal și protejarea drepturilor subiecților de date.

  4. Noţiunile utilizate în text:

  • date cu caracter personal: orice informaţie referitoare la o persoană fizică identificată sau identificabilă (subiect al datelor cu caracter personal). Persoana identificabilă este persoana care poate fi identificată, direct sau indirect, prin referire la un număr de identificare sau la unul ori mai multe elemente specifice identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale. De exemplu: numele, prenumele, anul naşterii, domiciliul, numărul de identitate de stat (IDNP), imaginile foto şi video - reprezintă date cu caracter personal care se referă la o persoană fizică identificată direct.

  • categorii speciale de date cu caracter personal: datele care dezvăluie originea rasială sau etnică a persoanei, convingerile politice, religioase sau filozofice, apartenenţa socială, datele privind starea de sănătate sau viaţa sexuală, precum şi cele referitoare la condamnările penale, măsurile procesuale de constrîngere sau sancţiunile contravenţionale. De exemplu: informaţia ce se conţine în cazierul judiciar, certificatul medical, informația din fişa buletinului de identitate despre participarea la referendum etc. reprezintă categoria specială a datelor cu caracter personal.

  • prelucrarea datelor cu caracter personal: orice operaţiune sau serie de operaţiuni care se efectuează asupra datelor cu caracter personal prin mijloacele automatizate sau neautomatizate, cum ar fi: colectarea, înregistrarea, organizarea, stocarea, păstrarea, restabilirea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea. Domeniul de aplicare al Legii privind protecția datelor cu caracter personal se răsfrînge în egală măsură atît asupra prelucrărilor ce se efectuează în mod automatizat în format electronic cît și prin alte mijloace decît cele automatizate. De exemplu: în cazul prelucrării datelor cu caracter personal ce se regăsesc în fișierele stocate pe suport de hîrtie, magnetic (CD, DVD, HDD etc.) în sistemele automatizate, manuale sau mixte, gestionate de către entitate.

  • operator: persoana fizică sau persoana juridică de drept public sau de drept privat, inclusiv autoritatea publică, orice altă instituţie ori organizaţie care, în mod individual sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal prevăzute în mod expres de legislaţia în vigoare. De exemplu: în cazul în care BNM şi/sau entităţile ce participă la sistemul financiar-bancar sau prestara serviciilor de microfinanțare, va/vor stabili scopurile şi procedurile de colectare, stocare şi prelucrare în continuare a unor date cu caracter personal în sisteme de evidenţă automatizate, manuale sau mixte, se va/vor constitui în calitate de operator/i al/i acestor date.

  • persoană împuternicită de către operator: persoana fizică sau persoana juridică de drept public ori de drept privat, inclusiv autoritatea publică şi subdiviziunile ei teritoriale, care prelucrează date cu caracter personal în numele şi pe seama operatorului, pe baza instrucţiunilor primite de la operator. De exemplu: În cazul în care instituția financiar-bancară sau organizația de microfinanțare, va transmite în gestiunea unei agenții de pază sistemul de supraveghere video, aceasta va avea calitatea de persoană împuternicită de către operator.

  • sistem de evidenţă a datelor cu caracter personal: orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie că este centralizată, descentralizată ori repartizată după criterii funcţionale sau geografice. În calitate de sistem de evidenţă a datelor cu caracter personal se constituie inclusiv dar nu se limitează la, bazele de date, sistemele informaţionale şi informatice în care sînt stocate şi prelucrate automatizat sau manual datele cu caracter personal. De exemplu: modele clasice ale sistemelor de evidenţă a datelor cu caracter personal reprezintă: Registrul de evidenţă al angajaţilor sau numerelor telefoanelor corporative ale angajaţilor, Registrul de evidenţă al vizitatorilor, Registrul de evidenţă a petiţiilor, Registrul dosarelor debitorilor creditați, precum şi imaginile foto/video colectate prin intermediul sistemelor de supraveghere video etc.

  • depersonalizarea datelor cu caracter personal: modificarea datelor cu caracter personal astfel încît detaliile privind circumstanţele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile. De exemplu: instituțiile financiare la atingerea scopului pentru care au fost colectate datele cu caracter personal, vor depersonaliza (radia, ascunde) anumiți identificatori ai persoanelor fizice lăsînd doar inițialele acestora, pentru a putea utiliza alte informații care nu duc direct la identificarea acestor subiecți de date, în scopuri statistice, de cercetare etc.



  1. PROCEDURI ORGANIZATORICE ŞI TEHNICE NECESAR A FI RESPECTATE

Măsuri generale

  1. Entităţilor implicate în procesul desfăşurării activităţii financiar-bancare și de microfinanțare, urmează a le fi atribuite, în funcție de rolul pe care îl au, calitatea de operator ori persoană împuternicită de operator, în conformitate cu noţiunile statuate de art. 3 al Legii privind protecţia datelor cu caracter personal şi pct. 4 al prezentelor Instrucţiuni.

  2. Prelucrarea datelor cu caracter personal în sistemele informaţionale, deţinute atît de persoane de drept public cît şi de drept privat, implicate în desfășurarea mecanismului financiar sau de microfinanțare, se va efectua cu respectarea drepturilor omului, a libertăţilor fundamentale şi demnităţii persoanelor în cauză, inclusiv dreptul la protecţia datelor cu caracter personal, dreptul la viaţa privată şi identitatea personală.

  3. Toate persoanele implicate în procesul desfăşurării activităţilor de prelucrare a datelor cu caracter personal, inclusiv angajaţii BNM și/sau CNPF, urmează a fi supuşi unei declaraţii de confidenţialitate, care, după caz, poate fi inclusă în contractele de muncă, avînd calitate de clauză contractuală sau în fişele postului, cu menţiunea expresă despre răspunderea civilă, contravenţională sau penală pentru încălcarea acesteia.

  4. Urmează a fi elaborată şi implementată politica de securitate instituțională a datelor cu caracter personal (pentru fiecare operator în parte), în conformitate cu prevederile Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, aprobată prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010 (Cerinţe), care ar acoperi aspecte ce vizează inclusiv: procedurile şi măsurile legate de realizarea politicii de securitate, cu aplicarea soluţiilor practice cu un nivel de detaliere și complexitate proporţional; identificarea şi autentificarea utilizatorilor învestiţi cu drepturi de acces la sistemele informaţionale de date cu caracter personal; modalităţile de reacţionare la incidentele de securitate; de protecţie a tehnologiei informaţiei şi comunicaţiilor; de asigurare a integrităţii informaţiei care conţine date cu caracter personal; de administrare a accesului la datele cu caracter personal prelucrate; de prescriere a trasabilității datelor cu caracter personal față de fiecare sistem de evidență gestionat; de audit în sistemele informaţionale şi de evidenţă a datelor cu caracter personal etc.

  5. Politica de securitate instituţională urmează să se fundamenteze pe principiul ,,Privacy by Designe/Privacy by Default” – arhitectura tehnică a securității informaționale a oricărui sistem de evidență gestionat în cadrul entității urmează să corespundă și/sau să asigure anumite practici de reacționare prescrise, instituite conceptual, urmînd să conţină reglementări care ar asigura protecţia datelor cu caracter personal prelucrate în cadrul sistemelor de evidenţă deţinute, în special prin următoarele metode:

  • preîntîmpinarea conexiunilor neautorizate la reţelele comunicaţionale şi interceptării cu ajutorul mijloacelor tehnice a datelor cu caracter personal transmise prin aceste reţele, în special în procesul dezvăluirii prin transmitere a datelor cu caracter personal între entităţile abilitate cu diferite competenţe în procesul desfăşurării activităţilor de prelucrare a datelor cu caracter personal în cadrul acţiunilor de monitorizare, supraveghere, raportare şi control al entităţilor subordonate normativ/legislativ sau după caz contractual;

  • excluderea accesului neautorizat la datele cu caracter personal prelucrate în cadrul sistemelor de evidenţă gestionate, prin metoda implementării procedurilor de identificare şi autentificare a utilizatorilor, prin repartizarea obligaţiilor şi învestirea cu minim de drepturi şi competenţe a celor implicaţi în procesul de gestionare a sistemelor de evidenţă a datelor cu caracter personal, prin asigurarea resurselor informaţionale cu soft licenţiat;

  • preîntîmpinarea acţiunilor speciale tehnice şi de program care pot condiţiona distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic, a soft-urilor destinate prelucrării datelor cu caracter personal, prin metoda folosirii mijloacelor de protecţie speciale, inclusiv a programelor licenţiate, programelor antivirus, organizării sistemului de control al securităţii soft-urilor şi efectuarea periodică a copiilor de siguranţă;

  • preîntîmpinarea scurgerii informaţiilor care conţin date cu caracter personal, transmise prin canalele de legătură, prin folosirea metodelor de cifrare (criptare) a acestor informaţii;

  • asigurarea canalelor de legătură securizată dintre instituțiile financiar-bancare și entitățile în adresa cărora se transmit date cu caracter personal spre raportare;

  • stabilirea exactă a ordinii şi procedurilor de acces la informaţia care conţine date cu caracter personal, prelucrată în cadrul sistemelor informaţionale şi de evidenţă instituite, atît pentru utilizatorii interni cît şi pentru cei externi;

  • organizarea generării înregistrărilor de audit a securităţii în sistemele informaţionale de evidenţă a datelor cu caracter personal, pentru a fi posibil acumularea probatoriului în cazurile investigării (de către operatorii sau organele corespunzătoare) a eventualelor operaţiuni de acces/tentativă de acces neautorizat, a operaţiunilor de modificare, extragere, blocare, ştergere sau distrugere a datelor cu caracter personal prelucrate în aceste sisteme de evidenţă.

  1. Instituțiile financiar-bancare și organizațiile de microfinanțare în calitate de operatori de date cu caracter personal trebuie: să asigure canal securizat sau criptarea datelor cu caracter personal care urmează a fi transmise către un alt destinatar, să minimalizeze accesul la fişiere într-un număr mic de agenţi (avînd în vedere principiul necesității), să actualizeze în mod constant sistemele de operare şi software-ul antivirus.

  2. Perioada de păstrare a datelor cu caracter personal din registrele informaționale interne trebuie să fie specificată şi, odată expirată, trebuie să fie activată ştergerea de funcționalitatea automatizată și/sau trecerea acestora în regim de document de arhivă, fără posibilitatea de reanimare (utilizare) a acestor informații decît: la cererea subiectului de date și/sau la cererea organului de resort în ordinea și în temeiul legislației procesual civile, contravenționale sau penale.

Folosirea poștei electronice și internetului în relația de muncă

  1. Pentru utilizarea corectă a rețelei internet și serviciilor e-mail urmează a se ține cont de următoarele principii:

  • principiul de necesitate, în conformitate cu care, sistemele informaționale și programele calculatorului trebuie să fie configurate prin reducerea la minimum a utilizării datelor cu caracter personal și de identificare în raport cu scopurile urmărite;

  • principiul de corectitudine, în conformitate cu care, caracteristicile esențiale ale prelucrărilor trebuie să fie apreciate de angajator cu individualizarea necesității pentru fiecare categorie de date cu caracter personal în parte. Tehnologia informației (într-o măsură mai mare decît dispozitivele interne de pe care se face o prelucrare) permite efectuarea mai multor prelucrări decît cele care sînt efectuate la locul de muncă. Astfel, prelucrarea de date cu caracter personal, prin diverse aplicații, poate excede circuitul fizic intern al operatorului de date, prin ce pot fi cauzate unele scurgeri de informații, calificate drept incidente de securitate, acestea fiind în mod proporțional prejudiciabile sub aspect pecuniar atît operatorului de date cît și întregului mecanism financiar național. În astfel de condiții, se impune necesitatea unei instruiri suplimentare ale personalului angajat, prin prisma principiilor de protecție a datelor cu caracter personal;

  • prelucrarea trebuie să fie efectuată în scopuri determinate, explicite cu respectarea principiului de relevanță și de ne-excesivitate. Orice prelucrare de date cu caracter personal urmează a fi efectuată în strictă conformitate cu atribuțiile specificate în fișa postului și să fie conforme prevederilor art. 4 al Legii privind protecția datelor cu caracter personal;

  • principiul responsabilizării, potrivit căruia, angajatorii/instituțiile financiar-bancare/organizațiile de microfinanțare urmează să asigure funcționalitatea și utilizarea adecvată a acestor resurse informaționale, prin implementarea unor instrucțiuni clare care vor permite angajaților de a-și exercita corect obligațiile de serviciu ce rezultă din activitatea financiar-bancară prestată.

  1. La prelucrarea datelor cu caracter personal ce vizează angajații, instituțiile financiar-bancare/ organizațiile de microfinanțare urmează să țină cont de prevederile art. 91-94 Codul muncii. Mai mult, urmează să se asigure angajatului la locul de muncă protecția drepturilor și libertăților fundamentale și a demnității, printr-un cadru de drepturi și obligații reciproce, în special, reglementări, care să permită angajatului să-și exprime în mod liber personalitatea și să i se asigure rezonabil sfera de intimitate în relațiile personale și profesionale. Astfel, utilizarea tehnicilor de monitorizare, precum supravegherea video, cardurile de acces, monitorizarea geolocației persoanei prin diferite dispozitive, urmează a fi ajustată la prevederile Legii privind protecția datelor cu caracter personal.

  2. Disciplina la locul de muncă urmează a fi armonizată cu principiile de protecție a datelor cu caracter personal, precum și corelate cu reglementările sectoriale în ceea ce privește relațiile de muncă și utilizarea tehnologiilor electronice la prelucrarea informațiilor, ținînd cont de dreptul persoanei de a nu fi supus unei decizii individuale automatizate (art. 17 al Legii privind protecția datelor cu caracter personal, Recomandarea nr. R(89) 2 a CE și Recomandarea CM/Rec (rdo) 12).

  3. În funcție de gradul de risc asupra cărora sînt supuse prelucrările de date cu caracter personal, instituțiile financiar-bancare/organizațiile de microfinanțare , în cadrul anumitor tehnici de operare ar putea:

  • limita,

  • navigarea pe paginile web ce nu au tangență cu atribuțiile de serviciu, descărcarea de software sau de fișiere cu muzică etc.;

  • servicii de e - mail sau de rețea, chiar dacă numai de la anumite stații de lucru sînt folosite sistemele de webmail, indicînd modul și perioada de utilizare (De exemplu: în afara orelor de lucru sau în timpul pauzelor, sau să permită utilizarea moderată, chiar și în timp de lucru);

  • traficul extern al internetului pentru a limita accesarea site-urilor, utilizarea cărora nu cade sub incidența legislației naționale;

  • utilizarea dispozitivelor de transcriere a informațiilor (CD-ROM, DVD-ROM, USB etc.);

  • accesul și folosirea în instituție a dispozitivelor audio și video de către angajați și clienți (De exemplu: telefoanele mobile proprii ale angajaților care sînt dotate cu astfel de tehnici de captare a informațiilor);

  • prescrie unele proceduri de control,

  • în ce situație angajatorul își rezervă dreptul de a efectua verificări cu privire la respectarea principiilor de protecție a datelor cu caracter personal, chiar și ocazional sau cazual, precizînd motivele legitime sau situații critice, care vor genera astfel de verificări (chiar și pentru testarea funcționalității și securității sistemului);

  • care sînt consecințele, inclusiv de natură disciplinară, în cazul în care se constată că e-mail-ul și internetul sînt utilizate în mod necorespunzător;

  • soluțiile de asigurare a continuității procesului tehnologic chiar și în situația în care angajatul ce operează sistemul va lipsi, inclusiv, la activarea sistemelor de a răspunde automat la e - mail-urile primite.

  1. În situația în care angajații sînt supuși unor măsuri de audit/control intern, la finalizarea procedurilor de verificare, obligatoriu, toți subiecții a căror activitate a fost supusă unei astfel de monitorizări (chiar și în cazul neînregistrării unor abateri de ordin execuțional), excepție fiind cazurile specificate la art. 15 al Legii privind protecția datelor cu caracter personal, urmează a fi informați despre rezultatele acesteia.

  2. Angajatorul nu este în drept să utilizeze mijloace software şi hardware ascunse (totalitatea programelor şi mijloacelor tehnice care asigură realizarea proceselor informaţionale) de captare a imaginilor video/audio și/sau să supună oricărui tip de monitorizare ascunsă angajații, inclusiv reproducerea și depozitarea sistematică a paginilor web vizualizate de către aceștia.

  3. Angajatorul este obligat să ia măsuri corespunzătoare organizatorice și tehnice, menite să prevină riscul de abuz în prelucrarea datelor cu caracter personal și, în toate cazurile, să minimizeze utilizarea datelor referitoare la angajați.

  4. De asemenea angajatorul urmează să pună la dispoziția angajaților email-uri personalizate de serviciu.



  1. DREPTURILE SUBIECȚILOR DATELOR CU CARACTER PERSONAL



  1. În momentul colectării datelor cu caracter personal referitor la încheierea unui contract de prestare a serviciilor financiar-bancare/microfinanțare, persoana responsabilă din cadrul entității, notifică subiectul de date cu caracter personal despre identitatea operatorului, în conformitate cu prevederile art. 12 al Legii privind protecţia datelor cu caracter personal.

  2. Informaţiile menţionate la pct. 20 trebuie să includă descifrarea clară şi obiectivă în ceea ce priveşte scopurile şi metodele de prelucrare, precum şi alte elemente prevăzute la art. 12 al Legii privind protecţia datelor cu caracter personal, cum ar fi :

  • identificarea sistemului de evidență în care vor fi prelucrate datele cu caracter personal, prezentarea informaţiei în gestiunea căror operatori/persoane împuternicite de operatori vor fi transmise datele cu caracter personal;

  • categoriile de participanţi care vor avea acces la datele cu caracter personal;

  • termenul de păstrare a datelor cu caracter personal;

  • modalitatea de exercitare a drepturilor prevăzute la art. art. 13, 14 şi 16 ale Legii privind protecţia datelor cu caracter personal - dreptul de acces, de intervenție și de opoziție asupra datelor cu caracter personal ce vizează subiectul de date.

  1. Obligația prezentării informațiilor specificate la pct. 21 se referă în mod corespunzător și persoanei/lor împuternicite de către operator.

  2. Informarea clientului/subiectului datelor cu caracter personal se va efectua o singură dată în condițiile enunțate supra, în situația în care colectare/prelucrarea ulterioară a datelor ce-l vizează va urmări scopul declarat inițial și va continua atît timp cît vor exista raporturi juridice cu clientul dat.

  3. La cererea scrisă a subiectului datelor cu caracter personal, instituțiile financiar-bancare/organizațiile de microfinanțare eliberează informația pe suport de hîrtie sau în format electronic (în funcție de solicitarea subiectului), ce constituie date cu caracter personal care vizează petentul, în condițiile prevăzute de art. 13 al Legii privind protecția datelor cu caracter personal și în termenele prevăzute la art. 16 al Legii privind accesul la informație. În cazul în care satisfacerea solicitării necesită timp și resurse financiare disproporționate scopului propus spre realizare (exemplu: în cazul în care subiectul datelor cu caracter personal solicită accesul la un volum exorbitant de date ce-l vizează, și/sau pe o perioadă ce depășește capacitatea operațională de extragere a acestor informații), subiectului datelor cu caracter personal i se poate solicita acoperirea cheltuielilor suportate pentru realizarea acestui drept, însă, cuantumul financiar nu poate depăși sine-costul operațiunilor, și/sau stabilirea unor termene suplimentare de examinare a adresării. Dreptul subiectului datelor cu caracter personal poate fi suspendat, pe o perioadă determinată, care nu va depăși termenele prescrise în legislația specială, în situația în care prelucrarea datelor cu caracter personal ce-l vizează cad sub incidența art. 15 al Legii privind protecția datelor cu caracter personal.

  4. Drept motiv pentru refuzul subiectului de date cu caracter personal de a i se furniza/informa/acorda acces la datele cu caracter personal (ce-l vizează) nu poate constitui atribuirea acestor informații la secret bancar sau secret comercial . Excepție fiind informația ce cade sub incidența prevederilor art. 15 al Legii privind protecția datelor cu caracter personal.

  5. În cazul realizării de către subiectul de date cu caracter personal a dreptului de intervenție, datele inexacte urmează a fi actualizate prin rectificare sau ștergere, ca bază servind doar actele de identitate (buletinul de identitate, pașaportul, permis de ședere etc.,.), modificarea urmînd a fi efectuată în toate sistemele de evidență a datelor cu caracter personal gestionate de către operator/persoana împuternicită de către operator.

  6. La cererea scrisă a subiectului datelor cu caracter personal prin care acesta își manifestă dreptul de opoziție asupra operațiunilor de prelucrare a datelor ce-l vizează, în situația în care aceasta nu cade sub incidența clauzelor contractuale și/sau unor obligațiuni caracteristice circuitului civil, precum și restricțiilor prevăzute la art. 15 al Legii privind protecția datelor cu caracter personal și/sau altor legi, instituțiile financiare/organizațiile de microfinanțare au obligația de a înceta orice prelucrare asupra datelor, acestea fiind distruse în modul corespunzător.

  7. Drepturile subiecților de date cu caracter personal se referă/aplică în mod corespunzător nu doar clienților contractanți dar și oricărei persoane fizice implicate într-o anumită prelucrare de date cu caracter personal.

IV. PRELUCRAREA DATELOR CU CARACTER PERSONAL ÎN RAPORTUL PRESTATOR DE SERVICII / CLIENT

  1. Datele cu caracter personal, ce sînt pertinente şi neexcesive, pot fi prelucrate de către instituția financiar-bancară/organizațiile de microfinanțare, doar în scopul aducerii la îndeplinire a unui interes legitim (De exemplu: în cazul punerii în aplicare a unor clauze contractuale, avînd în vedere drepturile şi obligaţiile ce rezultă din raportul juridico-civil), iar prelucrarea datelor cu caracter personal se va individualiza, se va răsfrînge şi se va limita doar asupra subiectului/ţilor a căror consimţămînt (neviciat) a fost obţinut expres. Astfel, prelucrarea datelor cu caracter personal ce vizează alţi subiecţi decît cei consemnaţi în raportul contractual (De exemplu: prelucrarea datelor cu caracter personal ale soţului/soţiei, a cărui consimţămînt nu a fost obţinut la semnarea contractului) nu poate avea loc, decît în cazurile stipulate conform legislației în vigoare.

  2. Principiul pertinenţei datelor urmează a fi pus în aplicare la prelucrarea datelor cu caracter personal îndreptate spre identificarea clienţilor pentru stabilirea raporturilor contractuale şi/sau efectuarea unor operaţiuni financiare, precum: viramente, tranzacţii, schimb valutar etc.

  3. Prelucrarea unui anumit volum de date cu caracter personal, în vederea identificării clienţilor, urmează a fi ajustat la necesităţile raportului juridic, astfel încît, volumul de date cu caracter personal solicitat să satisfacă şi să se limiteze la interesul/necesitatea legitimă a operatorului, ne-depăşind scopul pentru care aceste date au fost colectate.

  4. Prelucrarea datelor cu caracter personal conţinute în cadrul raportului juridic încheiat între instituția financiar-bancară/organizația de microfinanțare şi subiectul datelor cu caracter personal, precum şi în anexele acestui contract, poate fi efectuată doar de către operatorul de date şi/sau persoana împuternicită de către acesta.

  5. Orice tip de prelucrare a datelor cu caracter personal urmează să corespundă prevederilor art. 4 al Legii privind protecţia datelor cu caracter personal, care statuează că datele cu caracter personal care constituie obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior, precum și prevederilor Legii privind protecţia consumatorilor şi Legii privind clauzele abuzive în contractele încheiate cu consumatorii, care, în mod obiectiv, transpun principiile statuate de Legea privind protecţia datelor cu caracter personal.

  6. Prelucrarea datelor cu caracter personal conţinute într-un sistem informaţional al unei entități financiar-bancare/organizații de microfinanțare, este realizată de către operator şi persoanele împuternicite, exclusiv în scopurile pentru care acestea au fost colectate şi/sau în scopuri de protecţie a creanței şi limitarea riscurilor, în special pentru a evalua situaţia financiară şi solvabilitatea părţilor în cauză.

  7. Prelucrarea datelor cu caracter personal nu poate fi efectuată în oricare alte scopuri decît cel iniţial, cum ar fi - marketingul direct, promovarea unor anumite produse/servicii în scopuri publicitare. Excepție fiind cazurile cînd se obține în prealabil consimțămîntul în scris al subiectului datelor cu caracter personal la prelucrarea datelor ce-l vizează în astfel de scopuri.

  8. Înaintea oferirii dreptului de a prelucra date cu caracter personal persoanelor împuternicite de către operator, în conformitate cu prevederile art. 29 alin. (2) al Legii privind protecția datelor cu caracter personal, operatorul urmează să ofere acestora instrucțiuni clare care vor cuprinde cel puțin: scopul prelucrării, modalitatea prelucrării, perioada de stocare, persoanelor cărora le pot fi furnizate aceste informații cu accesibilitate limitată.

  9. Operatorul și persoana împuternicită de către operator poate prelucra datele cu caracter personal încredințate doar în scopurile stabilite exhaustiv și asupra cărora subiectul datelor cu caracter personal și-a manifestat consimțămîntul în conformitate cu legislația.

  10. Drepturile subiectului de date cu caracter personal prevăzute la art. art.12, 13, 14, 16 și 17 ale Legii privind protecția datelor cu caracter personal se manifestă sub formă de obligație care revine corespunzător și persoanei împuternicite de operator.

  11. În cazul în care persoana împuternicită de operator deține personalitate juridică și cade sub incidența prevederilor art. 2 al Legii privind protecția datelor cu caracter personal, iar la prelucrarea datelor cu caracter personal sînt implicați angajații proprii, acesteia îi revine obligația de a se înregistra în calitate de operator de date cu caracter personal asupra propriilor sisteme de evidență (precum: sistemul de evidență resurse umane, sistemul de evidență contabilitate etc.), în conformitate cu prevederile art. 23 al Legii privind protecția datelor cu caracter personal.

  12. Persoana împuternicită de operator poartă răspundere solidar pentru acțiunile săvîrșite la indicația operatorului și/sau la propria inițiativă, în cazul în care se adeverește că prelucrarea datelor cu caracter personal a fost contrară principiilor de protecție a datelor cu caracter personal.

  13. Prelucrarea datelor cu caracter personal nu poate implica prelucrarea categoriilor speciale de date cu caracter personal – datele care dezvăluie originea rasială sau etnică a persoanei, convingerile ei politice, religioase sau filozofice, apartenenţa socială, datele privind starea de sănătate sau viaţa sexuală, precum şi cele referitoare la condamnările penale, măsurile procesuale de constrîngere sau sancţiunile contravenţionale, excepție fiind cazurile expres prevăzute de legislație sau în condițiile existenței consimțămîntului subiecților de date cu caracter personal vizați.

  14. Orice tip de prelucrare a informației ce conține date cu caracter personal urmează a se limita la strictul necesar realizării obiectivelor propuse, în special, la realizarea interesului legitim care poate fi materializat atît prin clauzele contractuale și/sau existența unor norme legale care permit o astfel de prelucrare.

  15. În sistemele de evidență a datelor cu caracter personal gestionate, necesită a fi instituită obligatoriu rubrica, în care la fiecare accesare vor fi memorizați: identificatorii utilizatorului autorizat al sistemului de evidență și după caz, identificatorii dispozitivului precum IP-ul și MAC-adresa, de pe care au fost prelucrate datele cu caracter personal, scopul și temeiul legal al accesării/prelucrării datelor cu caracter personal.

  16. Operatorul datelor cu caracter personal sau persoana împuternicită sau salariații acestora poate accesa datele cu caracter personal în sistemul informaţional financiar-bancar sau al entității de microfinanțare gestionat cu condiţia respectării interesului justificat/obligaţiei de serviciu care se aplică în următoarele condiţii:

  • beneficiarii serviciilor financiar-bancare/microfinanțare care au nevoie de a stinge sau a modifica o obligaţie sau un drept în ceea ce priveşte raportul juridic civil încheiat cu instituția financiar-bancară/de microfinanțare cu utilizarea instrumentelor financiare;

  • persoanele împuternicite care acţionează în cadrul instituţiei respective (supuse obligaţiei nedivulgării) în vederea realizării unor sarcini de serviciu cum ar fi stabilirea unui raport de credit sau prevenirea unor riscuri creditare;

  • persoanele care sînt antrenate într-un raport juridic cu cele menţionate în alineatul anterior, în condiţiile în care este necesar de a evalua unele riscuri pentru a dovedi în mod obiectiv situaţia financiară şi solvabilitatea entităţii menţionate.

  1. Datele cu caracter personal referitoare la cererile subiecților/clienților instituției financiar-bancare/organizațiilor de microfinanțare într-un sistem unic de evidență pot fi accesate treptat şi selectiv, prin unul sau mai multe niveluri de consultare, iar dreptul de acces, necesită a fi acordat în strictă conformitate cu prezentele instrucţiuni şi legislaţia în vigoare privind protecţia datelor cu caracter personal.

  2. Datele cu caracter personal conţinute în orice tip de cerere (de creditare, de deschidere a unui depozit, de efectuare a unor tranzacții etc.), pot fi stocate într-un sistem de evidență și/sau în mai multe sisteme de evidență interconectate pentru perioada de timp necesară. În cazul în care cererea nu este acceptată sau din anumite motive solicitantul renunţă la obiectul reclamat, datele cu caracter personal introduse în sistem atît în format electronic cît și în orice alt format (hîrtie) necesită a fi şterse în decursul de 10 zile calendaristice, cu condiția că legea nu prevede altfel;

  3. Informaţia cu privire la raportul juridic cu instituția financiară/organizația de microfinanțare care a fost consumat pe deplin, ca urmare persoana fiind exonerată de orice tip de obligaţie, poate fi stocată în sistem nu mai mult de 24 de luni din data rezilierii contractului sau expirării lui. Astfel de informaţie poate fi stocată cu depăşirea termenului de 24 de luni, în următoarele cazuri:

  1. îndeplinirea unei obligaţii care îi revine operatorului conform legii;

  2. protejarea vieţii, integrităţii fizice sau a sănătăţii subiectului datelor cu caracter personal;

  3. executarea sarcinilor de interes public sau care rezultă din exercitarea prerogativelor de autoritate publică cu care este învestit operatorul sau terţul căruia îi sînt dezvăluite datele cu caracter personal;

  4. realizarea unui interes legitim al operatorului sau al terţului căruia îi sînt dezvăluite datele cu caracter personal, cu condiţia ca acest interes să nu prejudicieze interesele sau drepturile şi libertăţile fundamentale ale subiectului datelor cu caracter personal;

  5. scopuri statistice, de cercetare istorică sau ştiinţifică, cu condiţia ca datele cu caracter personal să rămînă anonime pe toată durata prelucrării;

  6. trecerea informațiilor în documnet de arhivă

Dezvăluirea datelor cu caracter personal terţilor

  1. Fiecare caz de solicitare a accesului la datele cu caracter personal, cuprinse în conturile și dosarele personale ale subiecţilor de date cu caracter personal, indiferent de statutul solicitantului (fie judecător, savant, avocat, polițist, procuror etc.), trebuie analizat în detaliu de către operator/persoana împuternicită de către operator pentru identificarea:

  • scopului pentru care se cere punerea la dispoziție a acestor date și dacă acest scop este sau nu în legătură cu scopurile pentru care au fost colectate datele cu caracter personal;

  • volumului și categoriilor datelor cu caracter personal la care se solicită accesul;

  • condițiilor în care vor fi păstrate datele cu caracter personal și termenelor pentru care sînt necesare aceste date;

  • cadrului normativ care întemeiază cererea de acces al solicitantului la aceste date;

  • prezenței consimțămîntului subiectului de date cu caracter personal pentru transmiterea informației cuprinse în dosarul personal al acestuia (De exemplu: în cazul cînd această informație îi este necesară subiectului în interes personal);

  • prezenței temeiurilor prevăzute la art. art. 5 alin. (5) lit. a), 6 alin. (1), 7 alin. (4) lit. a) - e) ale Legii privind protecția datelor cu caracter personal, care permit acordarea accesului sau punerea la dispoziția terților a informației care conține date cu caracter personal în absența consimțămîntului subiectului de date cu caracter personal;

  • posibilității aplicării prevederilor art. 31 al Legii privind protecția datelor cu caracter personal, prin depersonalizarea datelor cu caracter personal puse la dispoziția terților (după analiza detaliată a scopurilor pentru care se solicită accesul la aceste date).

  1. Instituția financiar-bancară/organizația de microfinanțare poate dezvălui datele cu caracter personal ce vizează angajații/clienții/vizitatorii etc. acesteia în adresa organelor competente, în cazul în care planează o bănuială rezonabilă de săvîrșire a unor acțiuni ce contravin prevederilor legislației naționale, însă, în această situație, instituția financiar-bancară/organizația de microfinanțare – își asumă responsabilitatea despre pertinența informațiilor dezvăluite, urmînd ca fondul cauzei să nu exceadă volumul de date dezvăluit.

  2. Eliberarea informațiilor ce consemnează date cu caracter personal, poate avea loc doar subiectului de date care urmează să se identifice prin verificarea identificatorilor din buletin și/sau alt act, cu informația menționată în cerere, (anexarea copiei buletinului de identitate și/sau altui act la cerere fără prezența fizică a persoanei nu constituie temei de eliberare a informațiilor), reprezentanților legali (ale căror împuterniciri urmează a fi prezentate în modul corespunzător), sau entităților ce cad sub incidența prevederilor art. 5 alin. (5) ale Legii privind protecția datelor cu caracter personal. Se explică, că dreptul entităților publice sau private (regăsite în legislația specială), de a solicita și a primi informații, în mod obligatoriu urmează a fi justificate prin existența legăturii de cauzalitate dintre subiectul datelor cu caracter personal, informația solicitată și relevanța/necesitatea acesteia la pricinile cauzei examinate.

  3. Entitățile care, datorită specificului serviciilor prestate și/sau drepturilor și obligațiilor ce rezultă dintr-un raport juridic civil încheiat cu subiectul de date, beneficiază de dreptul de a prelucra date cu caracter personal în absența consimțămîntului persoanei vizate, la solicitarea scrisă privind exprimarea intenției de a colecta/dezvălui date cu caracter personal, urmează să indice în mod obligatoriu numărul și data documentului în baza căruia se face prelucrarea (petiție, sesizare, autosesizare, control etc.), calitatea persoanei vizate în raport cu pricinile cauzei, scopul prelucrării, perioada de stocare a informației, precum și destinatarii cărora li se intenționează dezvăluirea acestor informații cu accesibilitate limitată.

  4. Informaţiile menţionate la punctele anterioare se va furniza părţilor interesate în scris sau în format electronic în condițiile Legii privind semnătura electronică şi documentul electronic, în conformitate cu prezentele instrucţiuni şi în conformitate cu legislaţia naţională în ceea ce priveşte protecţia datelor cu caracter personal.

Serviciile telefonice şi înregistrarea convorbirilor telefonice

  1. În funcție de serviciile prestate şi necesităţile ce rezultă din prestarea serviciilor financiar-bancare/microfinanțare, în temeiul unor regulamente interne, instituțiile vizate pot înregistra convorbirile telefonice dintre operator/client/eventuali clienți, astfel încît, punerea în aplicare a sericiilor financiare, să minimizeze riscurile de fraudă ce rezultă din acest raport juridico-civil.

  2. În toate cazurile în care operatorul de date cu caracter personal intenţionează înregistrarea convorbirilor telefonice în timp real, subiecţii de date cu caracter personal urmează a fi informaţi (atît angajații operatorului cît și clienții acesteia) în sensul prevederilor art. 12 al Legii privind protecţia datelor cu caracter personal, fiind obţinut consimţămîntul în prealabil (din partea tuturor subiecților implicați în convorbire), prin notificarea prealabilă sau includerea în clauzele contractuale a dispoziţiilor ce vor cuprinde exhaustiv scopul, temeiul legal, şi termenul de păstrare a datelor cu caracter personal, inclusiv a convorbirilor telefonice.

  3. Pentru înregistrarea convorbirilor telefonice şi, ulterior, stocarea acestora, operatorul şi/sau persoana împuternicită de operator trebuie să asigure măsuri de securitate adecvate pentru a preveni accesul neautorizat sau pierderea, distrugerea datelor cu caracter personal, avînd în vedere că termenul de stocare nu poate depăşi termenul necesar pentru atingerea scopului înregistrărilor efectuate.

Yüklə 78,5 Kb.

Dostları ilə paylaş:



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət
gir | qeydiyyatdan keç
    Ana səhifə
Dərs
Dərslik
Guide
Kompozisiya
Mücərrəd
Mühazirə
Qaydalar
Referat
Report
Request
Review

yükləyin