ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Часть 1

Прозрачность и способы осуществления прав

субъекта персональных данных

Статья 12. Прозрачность информации, сообщений

и способов осуществления прав субъекта

персональных данных

(1) Оператор принимает соответствующие меры для предоставления субъекту персональных данных любой указанной в статьях 13 и 14 информации и для передачи в соответствии со статьями 15–22 и 34 любых сообщений об обработке, изложенных простым и понятным языком в краткой, прозрачной, понятной и доступной форме, в частности информации, адресованной ребенку. Информация предоставляется в письменной форме или с использованием других средств, в том числе в электронной форме, когда это целесообразно. По запросу субъекта персональных данных информация может предоставляться в устной форме при условии подтверждения личности субъекта персональных данных другими средствами.

(2) Оператор должен содействовать осуществлению прав субъекта персональных данных в соответствии со статьями 15–22. В случаях, указанных в части (2) статьи 11, оператор не может отказать в удовлетворении заявления субъекта персональных данных об осуществлении им своих прав в соответствии со статьями 15–22, только если оператор не докажет, что не в состоянии идентифицировать субъекта персональных данных.

(3) Оператор должен предоставить субъекту персональных данных информацию о действиях, предпринятых по его заявлению в соответствии со статьями 15–22, без необоснованной задержки, но не позднее одного месяца после получения заявления. При необходимости этот срок может быть продлен на два месяца в зависимости от сложности и количества заявлений. Оператор информирует субъекта персональных данных о любом продлении в течение одного месяца со дня получения заявления, изложив также причины задержки. При подаче субъектом персональных данных заявления в электронной форме информация по возможности предоставляется также в электронной форме, только если субъект персональных данных не запросит их предоставление в иной форме.

(4) В случае непринятия мер по заявлению субъекта персональных данных оператор без необоснованной задержки в срок, не превышающий одного месяца со дня получения заявления, информирует субъекта персональных данных о причинах непринятия мер и о возможности подачи жалобы в Центр и подачи искового заявления.

(5) Информация, предоставляемая в соответствии со статьями 13 и 14, а также любое сообщение и любые меры, принимаемые в соответствии со статьями 15–22 и 34, предоставляются безвозмездно. Если заявления субъекта персональных данных являются явно необоснованными или избыточными, в частности из-за их многократной подачи, оператор может:

a) взыскать разумную плату с учетом административных расходов на предоставление информации или сообщения либо на принятие запрашиваемых мер; или

b) отказать в удовлетворении заявления.

В таких случаях на оператора возлагается бремя доказывания явной необоснованности или избыточности поступившего заявления.

(6) Без ущерба для статьи 11 при наличии обоснованных подозрений в отношении личности физического лица, подающего заявление, указанное в статьях 15–21, оператор может потребовать предоставления дополнительной информации, необходимой для подтверждения личности субъекта персональных данных.

(7) Информация, которая предоставляется субъектам персональных данных в соответствии со статьями 13 и 14, может быть предоставлена вместе со стандартными пиктограммами, чтобы в четкой, понятной и доходчивой форме дать общее представление о запланированной обработке. Предоставленные в электронной форме пиктограммы должны поддаваться автоматическому прочтению.

(8) Центр может утверждать документы для определения информации, которая должна быть предоставлена в виде пиктограмм, и процедуры предоставления стандартных пиктограмм.

Часть 2

Информирование и доступ к персональным данным

Статья 13. Информация, предоставляемая

в случае сбора персональных данных

от субъектов персональных данных

(1) Если сбор персональных данных, касающихся соответствующего субъекта, производится непосредственно от него, оператор в момент получения этих персональных данных предоставляет субъекту персональных данных следующую информацию:

a) идентификационные и контактные данные оператора и при необходимости его представителя;

b) при необходимости контактные данные лица, ответственного за защиту данных;

c) цели обработки, а также правовое основание такой обработки;

d) в случае осуществления обработки в соответствии с пунктом f) части (1) статьи 6 законные интересы, преследуемые оператором или третьей стороной;

e) получатели или категории получателей персональных данных;

f) при необходимости намерение оператора передать персональные данные получателю в иностранном государстве или международной организации и наличие или отсутствие решения Центра о надлежащем уровне защиты, а в случае передачи, указанной в статьях 46, 47 или части (2) статьи 49, ссылка на надлежащие или соответствующие гарантии и на средства получения их копии в случае, если таковые были предоставлены.

(2) Помимо информации, указанной в части (1), в момент получения персональных данных оператор предоставляет субъекту персональных данных следующую дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки:

a) срок, в течение которого должны храниться персональные данные, а в случае невозможности предоставления этой информации – критерии, использованные для определения этого срока;

b) наличие права на обращение к оператору с запросом о доступе к персональным данным, касающимся субъекта персональных данных, об их исправлении или удалении либо об ограничении обработки, равно как и права на возражение против обработки и права на переносимость данных;

c) в случае обработки, осуществляемой в соответствии с пунктом а) части (1) статьи 6 или с пунктом а) части (2) статьи 9, наличие права на отзыв согласия в любое время без ущерба для законности обработки, осуществленной на основании согласия до его отзыва;

d) право на подачу жалобы в Центр;

e) если предоставление персональных данных является юридической или договорной обязанностью или обязанностью, необходимой для заключения договора, и если субъект персональных данных должен предоставлять эти персональные данные, информация о возможных последствиях неисполнения этой обязанности;

f) наличие автоматизированного процесса принятия решений, включая профайлинг согласно частям (1) и (4) статьи 22, а также по меньшей мере в этих указанных случаях относящаяся к делу информация о примененной логической схеме, равно как и о значимости и предполагаемых последствиях этой обработки для субъекта персональных данных.

(3) В случае если оператор намеревается в дальнейшем обрабатывать персональные данные с целью, отличной от цели, для которой был осуществлен их сбор, он предоставляет субъекту персональных данных до указанной дальнейшей обработки информацию об этой вторичной цели и иную дополнительную информацию в соответствии с частью (2).

(4) Положения частей (1)–(3) не применяются в том случае и в той мере, в которых субъект персональных данных уже владеет этой информацией.

Статья 14. Информация, предоставляемая в случае

получения персональных данных

не от субъекта персональных данных

(1) Если персональные данные были получены не от субъекта персональных данных, оператор предоставляет субъекту персональных данных следующую информацию:

a) идентификационные и контактные данные оператора и при необходимости его представителя;

b) при необходимости контактные данные лица, ответственного за защиту данных;

c) цели обработки, а также правовое основание такой обработки;

d) категории рассматриваемых персональных данных;

e) по обстоятельствам получатели или категории получателей персональных данных;

f) при необходимости намерение оператора передать персональные данные получателю в иностранном государстве или международной организации и наличие или отсутствие решения Центра о надлежащем уровне защиты, а в случае передачи, указанной в статьях 46, 47 или части (2) статьи 49, ссылку на надлежащие или соответствующие гарантии и на средства получения их копии в случае, если таковые были предоставлены.

(2) Помимо информации, указанной в части (1), оператор предоставляет субъекту персональных данных необходимую для обеспечения справедливой и прозрачной обработки в отношении субъекта персональных данных информацию, включающую:

a) срок, в течение которого должны храниться персональные данные, а в случае невозможности предоставления этой информации – критерии, использованные для определения этого срока;

b) в случае осуществления обработки в соответствии с пунктом f) части (1) статьи 6 – законные интересы, преследуемые оператором или третьей стороной;

c) наличие права требовать от оператора в отношении персональных данных, касающихся субъекта персональных данных, доступа к ним, их исправления или удаления либо ограничения обработки, равно как и права возражать против обработки и права на переносимость данных;

d) в случае обработки, осуществляемой в соответствии с пунктом а) части (1) статьи 6 или с пунктом а) части (2) статьи 9, наличие права на отзыв согласия в любое время без ущерба для законности обработки, осуществленной на основании согласия до его отзыва;

e) право на подачу жалобы в Центр;

f) источник происхождения персональных данных и при необходимости информация о происхождении таких данных из общедоступных источников;

g) наличие автоматизированного процесса принятия решений, в том числе профайлинг согласно частям (1) и (4) статьи 22, а также по меньшей мере в этих указанных случаях относящуюся к делу информацию о примененной логической схеме, равно как и о значимости и предполагаемых последствиях такой обработки для субъекта персональных данных.

(3) Оператор предоставляет информацию, указанную в частях (1) и (2):

a) в разумный срок после получения персональных данных, но не превышающий одного месяца, с учетом конкретных обстоятельств обработки;

b) если персональные данные подлежат использованию для общения с субъектом персональных данных, не позднее первого общения соответствующему субъекту персональных данных; или

c) если планируется раскрытие персональных данных другому получателю, не позднее дня их раскрытия в первый раз.

(4) В случае если оператор намеревается обрабатывать в дальнейшем персональные данные с целью, отличной от цели, для которой был осуществлен их сбор, оператор предоставляет субъекту персональных данных до дальнейшей обработки информацию об этой вторичной цели и иную дополнительную информацию в соответствии с частью (2).

(5) Части (1)–(4) не применяются, если:

a) субъект персональных данных уже владеет информацией;

b) предоставление этой информации не представляется возможным или потребовало бы несоразмерных усилий, в частности, в случае обработки в целях архивирования в общественных интересах, в целях проведения научных или исторических исследований или в статистических целях при условии соблюдения требований и гарантий, предусмотренных частью (1) статьи 54, или в том объеме, в котором указанная в части (1) настоящей статьи обязанность может сделать невозможным достижение целей соответствующей обработки или создать серьезный риск для их достижения. В этих случаях оператор принимает соответствующие меры для защиты прав, свобод и законных интересов субъекта персональных данных, включая предоставление информации общественности;

c) получение или раскрытие персональных данных прямо устанавливаются нормативными актами, предусматривающими надлежащие меры по защите законных интересов субъекта персональных данных; или

d) персональные данные должны оставаться конфиденциальными в силу регулируемой нормативными актами законной обязанности, связанной с профессиональной тайной, в том числе законной обязанности по сохранению тайны.

Статья 15. Право на доступ субъекта персональных

данных

(1) Субъект персональных данных имеет право получать от оператора информацию, осуществляется ли обработка относящихся к нему персональных данных, и в случае подтверждения обработки получать доступ к соответствующим данным и к следующей информации:

a) цели обработки;

b) категории рассматриваемых персональных данных;

c) получатели или категории получателей, которым были раскрыты или которым должны быть раскрыты персональные данные, в частности получатели в иностранных государствах или международные организации;

d) срок, в течение которого предполагается хранить персональные данные, а в случае невозможности предоставления этой информации – критерии, использованные для определения этого срока;

e) наличие права требовать от оператора исправления или удаления персональных данных либо ограничения обработки персональных данных, касающихся субъекта персональных данных, и права возражать против обработки;

f) право на подачу жалобы в Центр;

g) в случае сбора персональных данных не от субъекта персональных данных – любую имеющуюся информацию об их источнике;

h) наличие автоматизированного процесса принятия решений, включая профайлинг, указанный в частях (1) и (4) статьи 22, а также по меньшей мере в этих указанных случаях относящаяся к делу информация о примененной логической схеме, равно как и о значимости и предполагаемых последствиях этой обработки для субъекта персональных данных.

(2) В случае передачи персональных данных иностранному государству или международной организации субъект персональных данных имеет право получить информацию о надлежащих гарантиях в соответствии со статьей 46.

(3) Оператор должен предоставлять копию персональных данных, ставших объектом обработки. За другие копии, запрошенные субъектом персональных данных, оператор может взимать разумную плату, основанную на административных расходах. Если субъект персональных данных подает заявление в электронной форме, за исключением случая, когда информация запрашивается в иной форме, информация предоставляется в общепринятой электронной форме.

(4) Право на получение копии, указанной в части (3), не затрагивает права и свободы иных субъектов.

Часть 3

Исправление и удаление

Статья 16. Право на исправление

Субъект персональных данных имеет право требовать от оператора исправления без необоснованных задержек относящихся к нему неточных персональных данных. Принимая во внимание цели, в которых обрабатывались персональные данные, субъект персональных данных имеет право требовать дополнения неполных персональных данных, в том числе путем подачи дополнительного заявления.

Статья 17. Право на удаление данных (право забвения)

(1) Субъект персональных данных имеет право требовать от оператора удаления без необоснованных задержек относящихся к нему персональных данных, а оператор обязан удалить без необоснованных задержек персональные данные в любом из следующих случаев:

a) персональные данные более не требуются для достижения целей, в которых они были собраны и обработаны;

b) субъект персональных данных отзывает свое согласие, на основе которого осуществляется обработка, в соответствии с пунктом а) части (1) статьи 6 или с пунктом а) части (2) статьи 9, при этом отсутствует иное законное основание для обработки;

c) субъект персональных данных возражает против обработки в соответствии с частью (1) статьи 21, при этом отсутствуют имеющие преимущественную силу законные основания для обработки, а также в случае, если субъект персональных данных возражает против обработки в соответствии с частью (2) статьи 21;

d) персональные данные были обработаны незаконно;

e) персональные данные должны быть удалены для соблюдения законной обязанности, возложенной на оператора на основании нормативных актов;

f) сбор персональных данных осуществлялся в связи с предоставлением указанных в части (1) статьи 8 услуг информационного общества.

(2) Если оператор обнародовал персональные данные и на основании части (1) обязан их удалить, он должен с учетом доступных технологий и затрат на реализацию принять разумные меры, в том числе технические, чтобы сообщить обрабатывающим персональные данные операторам, что субъект персональных данных потребовал от них удаления любых ссылок на соответствующие данные либо любых копий или воспроизведений этих персональных данных.

(3) Положения частей (1) и (2) не применяются, если обработка необходима:

a) для осуществления права на свободу выражения мнения и на информирование;

b) для соблюдения законной обязанности, предусматривающей обработку, или для выполнения задачи, осуществляемой в общественных интересах или при исполнении официальных полномочий, возложенных на оператора;

c) исходя из общественных интересов в области общественного здоровья в соответствии с пунктами h) и i) части (2) статьи 9 и частью (3) статьи 9;

d) в целях архивирования в общественных интересах, в целях проведения научных или исторических исследований либо в статистических целях в соответствии с частью (1) статьи 54, только если право, указанное в части (1) настоящей статьи, может сделать невозможным достижение целей обработки или создать серьезный риск для их достижения;

e) для установления, осуществления или защиты права в рамках административного, судебного или внесудебного производства.

Статья 18. Право на ограничение обработки

(1) Субъект персональных данных имеет право требовать от оператора ограничения обработки в одном из следующих случаев:

a) субъект персональных данных оспаривает точность персональных данных в течение срока, позволяющего оператору проверить точность данных;

b) обработка является незаконной, и субъект персональных данных возражает против удаления персональных данных, требуя взамен ограничения их использования;

c) оператор больше не нуждается в персональных данных в целях обработки, но субъект персональных данных запрашивает их для установления, осуществления или защиты права в рамках административного, судебного или внесудебного производства;

d) субъект персональных данных возражает против обработки в соответствии с частью (1) статьи 21 на определенный срок, в течение которого проверяется, если законные права оператора имеют преимущественную силу перед законными правами субъекта персональных данных.

(2) Если обработка ограничена на основании части (1), такие персональные данные могут обрабатываться, за исключением хранения, только с согласия субъекта персональных данных или для установления, осуществления или защиты права в рамках административного, судебного или внесудебного производства либо для защиты прав другого физического или юридического лица или по причинам, представляющим важный общественный интерес.

(3) Субъект персональных данных, затребовавший ограничения обработки на основании части (1), информируется оператором до отмены ограничения обработки.

Статья 19. Обязанность по уведомлению

об исправлении или удалении

персональных данных либо об ограничении

обработки

Оператор обязан сообщать каждому получателю, которому были раскрыты персональные данные, о любом исправлении или удалении персональных данных либо об ограничении обработки, осуществляемой в соответствии со статьей 16, частью (1) статьи 17 и статьей 18, за исключением случая, когда это представляется невозможным или требует несоразмерных усилий. Оператор сообщает субъекту персональных данных об указанных получателях, если об этом ходатайствует субъект персональных данных.

Статья 20. Право на переносимость данных

(1) Субъект персональных данных имеет право получать относящиеся к нему персональные данные, которые он предоставил оператору, в структурированной общепринятой и машиночитаемой форме, равно как и право передавать эти данные другому оператору без чинения препятствий оператором, которому были предоставлены персональные данные, в случае:

a) осуществления обработки с согласия в соответствии с пунктом а) части (1) статьи 6 или с пунктом а) части (2) статьи 9 либо на основании договора в соответствии с пунктом b) части (1) статьи 6;

b) осуществления обработки автоматизированными средствами.

(2) При осуществлении своего права на переносимость данных на основании части (1) субъект персональных данных имеет право на передачу персональных данных непосредственно от одного оператора другому, если это технически возможно.

(3) Осуществление права на переносимость данных не затрагивает положения статьи 17. Это право не применяется при обработке, необходимой для выполнения задачи, осуществленной в общественных интересах или при исполнении официальных полномочий, возложенных на оператора.

(4) Право, указанное в части (1), не затрагивает права и свободы иных субъектов.

Часть 4

Право на возражение и индивидуальный

автоматизированный процесс принятия решений

Статья 21. Право на возражение

(1) Субъект персональных данных имеет право в любое время возражать по личным причинам против обработки в соответствии с пунктами e) или f) части (1) статьи 6 относящихся к нему персональных данных, в том числе против профайлинга в соответствии с этими положениями. Оператор не должен более обрабатывать персональные данные, только если не докажет, что наличествуют веские законные и убедительные основания, оправдывающие обработку и имеющие преимущественную силу перед правами, свободами и законными интересами субъекта персональных данных, или что целью обработки являются установление, осуществление или защита законных прав в рамках административного, судебного или внесудебного производства.

(2) Если обработка осуществляется для целей прямого маркетинга, субъект персональных данных имеет право в любое время возразить против обработки относящихся к нему персональных данных, в том числе против профайлинга, в том объеме, в котором это связано с соответствующим прямым маркетингом.

(3) Если субъект персональных данных возражает против обработки для целей прямого маркетинга, персональные данные более не обрабатываются для этих целей.

(4) Не позднее первого общения с субъектом персональных данных о праве, указанном в частях (1) и (2), прямо информируется субъект персональных данных, при этом указанная информация представляется в понятной форме отдельно от любой другой информации.

(5) В контексте использования услуг информационного общества, в отступление от положений Закона об услугах информационного общества № 284/2004, субъект персональных данных может осуществлять свое право на возражение при помощи автоматизированных средств с использованием технических спецификаций.

(6) В случае обработки персональных данных в целях проведения научных или исторических исследований либо в статистических целях в соответствии с частью (1) статьи 54 субъект персональных данных по личным причинам имеет право возражать против обработки относящихся к нему персональных данных, за исключением случая, когда обработка необходима для выполнения определенной задачи, осуществленной в общественных интересах.

Статья 22. Индивидуальный автоматизированный

процесс принятия решений, включая

профайлинг

(1) Субъект персональных данных имеет право не подпадать под действие основанного исключительно на автоматизированной обработке, включая профайлинг, решения, которое создает юридические последствия для субъекта персональных данных или аналогичным образом воздействует на него в значительной степени.

(2) Положения части (1) не применяются в случае, если:

a) решение необходимо для заключения или выполнения договора между субъектом персональных данных и оператором;

b) решение разрешено нормативными актами, предусматривающими также соответствующие меры по защите прав, свобод и законных интересов субъекта персональных данных; или

c) основанием принятия решения служит четко выраженное согласие субъекта персональных данных.

(3) В случаях, указанных в пунктах a) и c) части (2), оператор применяет соответствующие меры по защите прав, свобод и законных интересов субъекта персональных данных, в частности по защите его права требовать вмешательства со стороны оператора, на выражение своей точки зрения и на обжалование решения.

(4) Решения, указанные в части (2), не могут основываться на особых категориях персональных данных, указанных в части (1) статьи 9, за исключением случая применения пунктов a) или g) части (2) статьи 9 и введения соответствующих мер по защите прав, свобод и законных интересов субъекта персональных данных.

Часть 5

Ограничения

Статья 23. Ограничения

(1) Права и обязанности, предусмотренные статьями 12–22 и 34, а также положения статьи 5, в том объеме, в котором они соответствуют правам и обязанностям, предусмотренным статьями 12–22, могут быть ограничены нормативным актом, если такое ограничение отвечает сущности основных прав и свобод и представляет собой необходимую и соразмерную меру в демократическом обществе, для обеспечения:

a) национальной безопасности;

b) обороны;

c) общественной безопасности;

d) предупреждения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных приговоров, в том числе для защиты от угроз общественной безопасности и для их предотвращения;

e) иных важных задач, представляющих общественный интерес для Республики Молдова, в частности значимый экономический или финансовый интерес для Республики Молдова, в том числе в бюджетно-денежной и налоговой сферах и в области общественного здоровья и общественной безопасности;

f) защиты судебной независимости и судебного производства;

g) предотвращения, расследования, выявления и уголовного преследования нарушения этики в случае регулируемых профессий;

h) функции мониторинга, проверки или регулирования, которые связаны в том числе эпизодически с осуществлением официальных полномочий в случаях, указанных в пунктах a)–e) и g);

i) защиты субъекта персональных данных или прав и свобод иных субъектов;

j) применения гражданско-правовых требований.

(2) Любой закон, принятый в соответствии с частью (1), должен содержать в зависимости от обстоятельств специальные положения по меньшей мере:

a) о целях обработки или категориях обработки;

b) о категориях персональных данных;

c) об области применения введенных ограничений;

d) о гарантиях для предупреждения злоупотреблений или незаконного доступа либо передачи;

e) об указании оператора или категорий операторов;

f) о сроках хранения и применимых гарантиях с учетом характера, области применения и целей обработки или категорий обработки;

g) о рисках для прав и свобод субъектов персональных данных;

h) о праве субъектов персональных данных на получение информации об ограничении, если это не наносит ущерба цели ограничения.

Статья 34. Уведомление субъекта данных о нарушении безопасности персональных данных

(1) В случае если нарушение безопасности персональных данных может привести к высокому риску для прав и свобод физических лиц, оператор без необоснованной задержки уведомляет субъекта данных о таком нарушении.

(2) Уведомление, направляемое субъекту данных в соответствии с пунктом (1), должно содержать описание характера нарушения безопасности персональных данных, изложенное ясным и простым языком, а также, как минимум, информацию и меры, предусмотренные статьёй 33 пунктом (3) подпунктами b)–d).

(3) Уведомление субъекта данных, предусмотренное пунктом (1), не требуется, если выполнено одно из следующих условий:

a) оператор внедрил соответствующие технические и организационные меры защиты, и эти меры были применены к персональным данным, затронутым нарушением безопасности персональных данных, в частности меры, обеспечивающие недоступность (нечитаемость) персональных данных для лиц, не имеющих права доступа к ним, такие как шифрование;

b) оператор принял последующие меры, обеспечивающие, что высокий риск для прав и свобод субъектов данных, указанный в пункте (1), более не может реализоваться;

c) уведомление потребовало бы несоразмерных усилий. В таком случае осуществляется публичное уведомление либо принимается аналогичная мера, с помощью которой субъекты данных информируются столь же эффективным способом.

(4) В случае если оператор не уведомил субъекта данных о нарушении безопасности персональных данных, Центр, приняв во внимание вероятность того, что нарушение безопасности персональных данных может привести к высокому риску, может потребовать от оператора уведомить субъекта данных либо может признать, что выполнено одно из условий, указанных в пункте (3).