ГЛАВА I ДЕЯТЕЛЬНОСТЬ ПО ПРОВЕДЕНИЮ ПРОВЕРОК 1.1 Проведение проверок

ГЛАВА I
ДЕЯТЕЛЬНОСТЬ ПО ПРОВЕДЕНИЮ ПРОВЕРОК
1.1 Проведение проверок
По сравнению с предыдущими периодами отмечается стабильный рост количества
проведенных Национальным центром по защите персональных данных (далее – Центр)
проверок обработки персональных данных на соответствие требованиям Закона о защите
персональных данных. Так, на протяжении 2014 года зарегистрированы 174 проверки, из
которых 81 предпринята самостоятельно в инициативном порядке и 93 проверки - по
принятым к рассмотрению жалобам и обращениям.
Сравнительная статистика количества проверок, проведенных Центром в период 2009-2014 гг.
174
151
82
46
8
2009 год
20
2010 год
2011 год
2012 год
2013 год
2014 год
На проверочную деятельность Центра в 2014 году повлияли нехватка персонала и
бюджетные ограничения, что не позволило осуществить плановые проверки, вследствие
чего на основании положений ст.27 Закона о защите персональных данных проводились
лишь внеплановые проверки. Именно поэтому предпринимались большей частью проверки
по разрешению жалоб и обращений с соблюдением письменной процедуры получения
необходимой информации для их объективного рассмотрения и по итогам проверок
вынесения санкций в отношении контролеров персональных данных или предоставления
им необходимых инструкций с целью приведения операций по обработке данных в
соответствие с положениями закона.
1
В
результате
проведенных
проверок,
установлено
55
административных
правонарушений, предусмотренных ст. 74¹ - 74² Кодекса о правонарушениях, составлены
34 протокола о правонарушениях, которые были направлены на рассмотрение по существу
компетентной судебной инстанции. Вместе с тем в соответствии с положениями ст.20
частью (1) лит.e) Закона о защите персональных данных и главы II, п.2 и 3 лит. d)
Положения о Национальном центре по защите персональных данных, утвержденного
Законом №182-XVI от 10 июля 2008 г., в случаях установления нарушений законных
положений в сфере защиты персональных данных с учетом обстоятельств и тяжести
нарушений дополнительно к возбуждению дел о правонарушениях посредством решений
директора Центра были установлены специфические принудительные меры. Таким
образом, были приняты 3 решения о прекращении операций по обработке персональных
данных и одно решение о приостановлении этих операций. Сравнительная ситуация
представлена в таблице №1:
Таблица №1
период для
сравнения
инициированные
проверки
акты реагирования, принятые по результатам проведенных
проверок
в том числе
самостоятельно/при
обращении
субъектов
персональных данных
решения о
приостановлени
и операций по
обработке
персональных
данных
решения о
прекращении
операций по
обработке
персональных данных
решения об
удалении
данных,
обработанных с
нарушением
закона
составленные
протоколы о
правонарушениях
2009 год
8
4/4
3
4
2
-
2010 год
20
12/8
7
-
2
-
2011 год
46
17/29
3
-
7
-
2012 год
82
6/76
6
1
-
4
2013 год
151
19/132
5
1
4
26
2014 год
174
81/93
1
3
1
34
Как уже отмечалось, по сравнению с предыдущими годами отмечается стабильный
рост количества проведенных проверок. Вместе с тем налицо легкое снижение количества
жалоб со стороны субъектов персональных данных относительно нарушения их прав,
гарантированных законодательством о защите персональных данных, с другой стороны,
проверочные мероприятия, проводимые на основании этих обращений, стали куда
более комплексными и объемными. Если ранее по одному проверочному материалу
2
проводилось в среднем 5 процедурных действий, то в 2014 году средний показатель
выполняемых в рамках одного материала действий равнялся 25.
Анализ специфики поданных жалоб позволил установить, что заявители требуют
вмешательства Центра и проведения проверки законности операций по обработке
относящихся к ним персональных данных в связи с: созданием контролерами персональных
данных в публичной и частной сфере систем автоматизированного учета, в которых
обрабатываются персональные данные; проверкой законности установки систем
видеонаблюдения в определенных пространствах; проверкой соблюдения технических и
организационных мер, внедренных для обеспечения адекватного режима безопасности при
обработке персональных данных; проверкой причин нерегистрации систем учета и баз
данных в Регистре учета контролеров персональных данных; проверкой легальности
операций по консультированию и извлечению персональных данных, хранящихся в
различных информационных государственных ресурсах, а также по незаконному сбору
относящихся к ним персональных данных, без соблюдения прав на информирование, на
доступ и на возражение.
1.2 Примеры нарушений, констатированных Центром в рамках проведенных
проверок
В результате проверок, предпринятых в ответ на поступившие жалобы или в
самостоятельном порядке, Центр вправе в качестве констатирующего агента составлять
протоколы
о
правонарушениях,
предусмотренных
статьями
741-743
Кодекса
о
правонарушениях, которые впоследствии согласно положениям ст.4234 того же Кодекса
передает для рассмотрения по существу в компетентную судебную инстанцию.
В большинстве случаев судебные инстанции признали лиц, в отношении которых
Центр возбудил производство о правонарушении, виновными в совершении вмененных
правонарушений, определив наказания в виде штрафов в размере от 100 до 500 условных
единиц. В некоторых случаях виновность лиц была подтверждена, однако производство о
правонарушении было прекращено по причине истечения 3-месячного срока давности
привлечения к ответственности за правонарушения.
Далее, приводим некоторые характерные примеры нарушений законодательства по
защите персональных данных:
3
Пример № 1
Незаконная обработка персональных
данных судебными исполнителями
Гражданин А.Т. обратился с жалобой, в которой указал на предполагаемый факт
незаконной обработки относящихся к нему персональных данных, хранящихся в Реестре
недвижимого имущества.
В результате проверочных действий установлено, что судебный исполнитель Н.М.
произвел операцию доступа к персональным данным (консультирования персональных
данных), относящимся к гр. A.T., в том числе согласно критерию поиска ”по владельцу”, в
отсутствие законной цели и основания. Одновременно установлено, что этот судебный
исполнитель не обеспечил гр. A.T., в качестве субъекта персональных данных, право быть
информированным.
Более того, операция доступа (консультирования) к персональным данным,
относящимся к истцу, была осуществлена с нарушением положений п.45 Требований по
обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных, утвержденных Постановлением Правительства №1123 от
14 декабря 2010 г. (Требования).
В подобных обстоятельствах судебный исполнитель Н.М. нарушил положения ст.4
части (1) лит. a), b), ст. 5 части (1), ст. 12 Закона о защите персональных данных и п. 45
Требований, в связи с чем Центр возбудил против него дело о правонарушении на
основании:
 ст. 741 части (1) Кодекса о правонарушениях: несоблюдение требований по обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных;
 ст. 741 части (3) Кодекса о правонарушениях: Нарушение прав субъекта персональных
данных на информирование;
 ст. 741 части (4) Кодекса о правонарушениях: Нарушение условий хранения и
использования персональных данных.
Пример №2
Незаконная обработка персональных
данных примарами
Гражданин T.Б. обратился с жалобой, в которой указал, что примар коммуны XXXX
р-на YYYY, П.К., произвел доступ (консультацию) и извлек (распечатал) относящиеся к
нему персональные данные из Реестра недвижимого имущества, а также собрал, сохранил,
использовал и раскрыл посредством передачи неавторизованным третьим лицам,
4
персональные данные заявителя, содержащиеся в ряде писем, а именно: фамилию, имя и
отчество, дату и год рождения, IDNP и домашний адрес.
Будучи запрошена информация о цели и законных основаниях операций по
обработке персональных данных, примар П.К. указал в качестве цели намерение доказать
несовместимость личности истца и занимаемой им публичной должности.
Таким образом, в действиях примара П.К. прослеживается отсутствие законных
оснований для осуществления обработки персональных данных, относящихся к истцу,
обстоятельство, противоречащее положениям ст.4 части (1) лит. a), b), c), ст. 5 части (1) и
ст. 9 Закона о защите персональных данных, в связи с чем Центр возбудил производство о
правонарушении по признакам деяния, предусмотренного ст. 741 частью (4) Кодекса о
правонарушениях: нарушение условий использования персональных данных.
Пример №3
Незаконная обработка персональных данных
сотрудником Государственной инспекции труда
На основании жалобы гр. A.С., который сообщил о якобы имевшем место факте
раскрытия информации посредством передачи персональных данных, относящихся к
сотрудникам компании ”XXX” ООО, Государственной инспекцией труда (Инспекцией) в
адрес неавторизированного третьего лица - страховой компании ,,YYY” АО, Центр
предпринял проверку законности этих операций по обработке персональных данных.
В рамках проверки на основании информации, представленной Инспекцией, было
установлено, что сотрудник этой организации, по запросу страховой компании ,,YYY” AО,
передал последней информацию о результатах проверки, проведенной у экономического
агента ,,XXX” ООО, указав в тексте письма существенный объем персональных данных,
относящихся к сотрудникам предприятия, на котором осуществлялась проверка, а также
передал в приложении материалы на 21 странице (копии приказов о приеме на работу,
индивидуальные трудовые договоры, табели учета реально отработанного времени,
списки платежных ведомостей, журнал учета трудовых книжек и пр.).
Проанализировав законодательство, регулирующее деятельность Инспекции, Центр
не выявил норм, которые могли бы служить представителям упомянутого органа
основанием для действий по сбору, хранению, использованию и раскрытию посредством
передачи определенной информации ограниченного доступа в адрес третьих лиц, не
имеющих соответствующего разрешения. Следует отметить, что хотя в некоторых случаях
этот орган располагает компетенциями, предполагающими обработку персональных
5
данных, эти
операции
являются обоснованными
только в рамках
проведения
государственной проверки по соблюдению законодательных актов и других нормативных
документов в области трудовых отношений, охраны здоровья и безопасности труда.
Одновременно проверке подлежит только работодатель касательно его работников, это
действие не предполагает и раскрытие информации ограниченного доступа (собранной в
рамках проверки) не имеющим разрешения субъектам, в данном случае, страховой
компании ,,YYY” AО.
Более того, на дату обращения Инспекции страховая компания ,,YYY” AО,
благодаря услугам страхования, предоставляемым компании ”XXX” ООО, имело
процессуальное качество истца в рассмотрении ряда гражданских дел против указанного
общества с ограниченной ответственностью, уклонившись от законной процедуры
получения доказательств (ст. 118 и 119 Гражданского процессуального кодекса),
обратилась в Инспекцию для проверки предполагаемых отклонений, допущенных ,,XXX”
ООО при трудоустройстве персонала, которые впоследствии были представлены судебной
инстанции в качестве доказательств.
Учитывая обстоятельства дела Центр квалифицировал своим решением действия
Инспекции как не соответствующие принципам защиты персональных данных. Хотя
действия представителей этого органа по обработке персональных данных в данном случае
отмечены признаками правонарушений, предусмотренных ст. 741 частью (3) и (4) Кодекса
о правонарушениях, в соответствии с положениями ст. 30 части (2) того же Кодекса,
ожидаемые юридические последствия не наступили по причине истечения срока исковой
давности (3 месяца с момента совершения правонарушения).
Пример № 4
Обработка персональных данных
прокурором Генеральной прокуратуры
На основании обращения гр. П.В., который запросил проверку законности обработки
относящихся к нему персональных данных, хранящихся в Государственном регистре
населения и Государственном регистре правовых единиц, Центр инициировал проверку, в
ходе которой выявил факт доступа и извлечения информации, содержащей персональные
данные истца, авторизованным пользователем Генеральной прокуратуры - Г.Б.
Будучи запрошена информация о цели и законном основании операций по доступу
(консультированию), извлечению и раскрытию посредством передачи третьим лицам
персональных данных, которые относятся к П.В. и хранятся в вышеуказанных главных
государственных информационных ресурсах, прокурор Г.Б. указал на необходимость
6
доступа к персональным данным лица в рамках рассматриваемого уголовного дела,
установив, однако, что доступ к данным был осуществлен ошибочно, а просмотренные
данные не были распечатаны.
Учитывая, что поступивший ответ содержал противоречивую информацию в части,
касающейся распечатки персональной карточки заявителя и ее раскрытия посредством
передачи неавторизованным лицам - участникам рассмотрения гражданского дела, Центр
запросил повторное изложение цели и законного обоснования операций по извлечению и
раскрытию посредством передачи в адрес третьих неавторизованных лиц упомянутой
информации ограниченного доступа.
Впоследствии был представлен ответ, аналогичный вышеуказанному, который
содержал утверждения, не способные оправдать вмешательство в частную жизнь субъекта
персональных данных, а Центр потребовал вмешательства Генеральной прокуратуры, для
сопоставления
цели
и
законного
основания,
заявленного
прокурором
Г.Б.,
с
обстоятельствами указанного уголовного дела.
Впоследствии Генеральная прокуратура сообщила о констатации неавторизованного
доступа Г.Б. к информации ограниченного доступа, относящейся к истцу, в связи с чем была
возбуждена дисциплинарная процедура.
В данных обстоятельствах было установлено, что прокурор Г.Б. нарушил положения
ст. 4 части (1) лит. a), b), c) и e), ст. 5 части (1), ст. 11 части (3), ст. 20 части (3), ст. 29 части
(1) и ст. 30 части (1) Закона о защите персональных данных, в связи с чем, в его отношении
было возбуждено производство о правонарушении на основании:
- ст. 74¹ части (4) Кодекса о правонарушениях: нарушение условий хранения и
использования персональных данных;
- ст. 74² части (1) Кодекса о правонарушениях: представление недостоверной или
неполной информации Центру в процессе осуществления им контрольных функций.
Пример №5
Незаконная обработка персональных
данных экономическим агентом
На основании обращения руководителя СП ,,XXX” АО– С.П., который сообщил о
якобы имевшем место факте раскрытия информации через обнародование определенного
объема персональных данных, относящихся к сотрудникам указанной компании, в части
финансового положения этих налогоплательщиков Центр предпринял проверку законности
данных операций по обработке персональных данных.
7
В ходе проверки установлено, что структурированная в бухгалтерском учете
информация извлечена несанкционированно, а впоследствии обнародована (путем
размещения в общественных местах) неизвестными лицами, что дает основание
предполагать наличие инцидента безопасности системы учета данных СП ,,XXX” АО.
Таким образом, Центр провел внеплановую проверку СП ,,XXX” АО, в ходе которой
установлено, что вышеуказанный экономический агент в силу специфики осуществляемой
деятельности
обрабатывает
персональные
данные,
относящиеся
к
сотрудникам,
посетителям и возможным клиентам, и администрирует как минимум следующие системы
учета персональных данных: трудовых ресурсов, бухгалтерии, контроль доступа/входа,
видеонаблюдения, журнал записи клиентов, о чем Центр не был уведомлен.
Более того, на СП ,,XXX” АО установлен факт инцидента безопасности, что
выразилось в утечке информации ограниченного доступа, содержащей данные о
финансовом положении работников из администрируемой системы бухгалтерского учета,
по отношению к которой предприятие является контролером персональных данных.
В результате был составлен акт проверки, в котором констатируется несоблюдение
СП ,,XXX” АО положений ст. 4, 5 части (1), ст. 11, 12, 23, 28, 29, 30, 32, 34 части (4) Закона
о защите персональных данных, Требований по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных,
утвержденных Постановлением Правительства №1123 от 14 декабря 2010 г., с
предоставлением срока для приведения операций по обработке персональных данных в
соответствие с вышеупомянутыми законными положениями.
Учитывая, что констатированные несоответствия не были устранены по истечении
предоставленного срока, Центр возбудил в отношении указанного предприятия
производство о правонарушении по признакам, предусмотренным:
ст. 741 частью (1) Кодекса о правонарушениях: несоблюдение требований по
обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных;
- ст.741 частью (2) Кодекса о правонарушениях - обработка персональных данных без
уведомления органа контроля в области обработки персональных данных, а также
обработка персональных данных контролером, не зарегистрированным в установленном
порядке;
- ст. 741 частью (3) Кодекса о правонарушениях: нарушение прав субъекта
персональных данных на информирование;
- ст. 74¹ части (4) Кодекса о правонарушениях: нарушение условий хранения и
использования персональных данных;
8
- ст. 74² частью (1) Кодекса о правонарушениях: отказ в предоставлении сведений или
документов, запрошенных Национальным центром по защите персональных данных в
процессе осуществления контрольных функций, а также непредставление запрашиваемых
сведений и документов в установленный законом срок.
Пример № 6
Незаконная обработка персональных данных
представителями Министерства внутренних дел
Гражданин С.К. обратился в Центр с жалобой, сославшись на незаконную обработку
персональных данных, относящихся к нему и хранящихся в некоторых государственных
информационных ресурсах. В ходе проверки был установлен факт обработки персональных
данных заявителя, хранящихся в Государственном регистре населения, посредством
автоматизированной
информационной
системы
«Регистр
криминалистической
и
криминологический информации» авторизованными пользователями Министерства
внутренних дел.
На запрос Центра Служба информационных технологий Министерства внутренних
дел представила цель и законное основание некоторых проведенных операций, однако, не
была указана обосновывающая информация в части других 7 операций по обработке
персональных данных. Впоследствии Центр запросил повторно представление целей и
законных оснований операций по обработке персональных данных, не указанных в
предыдущем ответе.
Поскольку и на этот раз была представлена недостоверная и неполная информация,
Центр
провел
внеплановую
проверку
в
Службе
информационных
технологий
Министерства внутренних дел, совместно с представителями Отдела защиты персональных
данных и Управления внутренней безопасности и борьбы с коррупцией Министерства
внутренних дел.
На основании установленных в ходе проверки обстоятельств Центр предпринял
следующие действия в отношении контролера персональных данных - Министерства
внутренних дел:
- было вынесено Решение о прекращении операций по обработке персональных
данных, в отношении субъектов персональных данных, которые не определены
положениями п. 8 подпункта 1) Положения об организации и функционировании
автоматизированной
информационной
системы
«Регистр
криминалистической
и
криминологической информации», утвержденного Постановлением Правительства № 328
от 24 мая 2012 г. (к примеру: свидетели, третьи лица и пр.), осуществляемых
9
авторизованными пользователями Регистра криминалистической и криминологической
информации;
- было возбуждено производство о правонарушении за деяние, предусмотренное ст.
74² частью (1) Кодекса о правонарушениях, в отношении ответственных лиц Службы
информационных технологий Министерства внутренних дел, виновных в промедлении при
рассмотрении запросов Центра, а также в представлении недостоверной информации.
Пример № 7
Незаконная обработка персональных
данных адвокатом
Гражданин M.П. подал жалобу в Центр, в которой сослался на использование
персональных данных, которые вредят его интересам, нарушая его право на личную,
семейную и частную жизнь. Вместе с тем M.П. потребовал проверку законности операций
по раскрытию посредством передачи некоторыми правовыми учреждениями в адрес
адвоката К. Р. процессуальных документов, содержащих относящиеся к нему персональные
данные,
представив
Центру
в
качестве
доказательства
копии
протоколов
о
правонарушениях, содержащие записи, предположительно сделанные адвокатом К.Р.
В результате предпринятых Центром действий установлено, что адвокат К.Р.,
получив от некоторых правовых органов копии протоколов о правонарушениях,
составленных в отношении М.П., использовал их незаконным образом, вывесив их на
входную дверь учреждения, в котором работает заявитель, что подтверждается
свидетельством очевидца. Последний сообщил дополнительно, что копии упомянутых
протоколов содержали записи красного цвета, порочащие гр. М.П., а в нижней части копий
были нанесены оттиски мокрой печати и собственноручная подпись.
Свидетельства очевидца в части, касающейся порочащих надписей, подтверждались
и приложениями, представленными М.П. на момент подачи жалобы. Более того,
установлено, что оттиск печати на этих документах содержал текст «соответствует
оригиналу» и собственноручную подпись адвоката К.Р.
Выявленные в рамках проверки обстоятельства показали также, что адвокат К.Р.
обрабатывает персональные данные, относящиеся к его клиентам, в не менее чем двух
системах учета, которые он ведет согласно положениям ст. 8 части (4) и 54 части (1) лит. e)
и f) Закона об адвокатуре, будучи обязан согласно ст. 23 и ст.34 части (4) Закона о защите
персональных данных до проведения операций по обработке персональных данных
зарегистрироваться в качестве контролера данных в Регистре учета контролеров
персональных данных.
10
Учитывая то обстоятельство, что своими действиями/бездействием адвокат К.Р.
нарушил положения ст. 4, 5, 6, 8 части (1), ст. 9, 17, 23, 29 и 34 части (4) Закона о защите
персональных данных Центр возбудил в его отношении производство о правонарушениях
по деяниям, предусмотренным:
-
ст. 74¹ частью (2) Кодекса о правонарушениях: обработка персональных данных
без уведомления органа контроля в области обработки персональных данных, а
равно обработка персональных данных контролером, не зарегистрированным в
установленном порядке;
-
- ст. 741 частью (3) Кодекса о правонарушениях: нарушение прав субъекта
персональных данных на информирование;
-
- ст. 74¹ частью (4) Кодекса о правонарушениях: нарушение условий хранения и
использования персональных данных;
Пример № 8
Незаконная обработка персональных данных
руководителем образовательного учреждения
На основании информации о предполагаемом факте незаконной обработки,
посредством камер видеонаблюдения, персональных данных, относящихся к сотрудникам
и школьникам учреждения образования «WWW», Центр провел неплановую проверку на
месте.
В ходе проверки установлено, что это учреждение образования управляет 16
видеокамерами, расположенными в холлах и по внешнему периметру здания, из которых 9
оснащены системами звуковой регистрации и установлены в классах с объявленной целью
обеспечения сохранности имущества учреждения.
Одновременно
отмечено,
что
субъекты
персональных
данных
(школьники/сотрудники) и законные представители несовершеннолетних школьников не
давали в письменном виде согласия на обработку персональных данных посредством
системы видео/аудионаблюдения, смонтированной в данном образовательном учреждении.
В то же время установлено, что учреждение «WWW» не внесено в Регистр учета
контролеров персональных данных, вопреки положениям ст. 23 и ст. 34 части (4) Закона о
защите персональных данных.
Исходя из установленных обстоятельств подлежащее проверке учреждение
образования обрабатывает персональные данные вопреки положениям Закона о защите
персональных данных, Требований по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных и Трудового кодекса.
11
Таким образом, Решением руководства Центра были приостановлены операции по
обработке персональных данных образовательным учреждением «WWW» посредством
камер видеонаблюдения до устранения установленных и указанных в проверочном акте
несоответствий.
Пример № 9
Незаконная обработка персональных
данных некоторыми публичными учреждениями
На основании жалобы T.Л., правопреемницы усопшего К.Л., Центр предпринял
проверку легальности операций по обработке персональных данных, относящихся к
усопшему в связи с предполагаемой незаконностью данной обработки, проведенной
Главной государственной налоговой инспекцией (ГГНИ) и примэрией муниципия
Кишинэу.
В результате контрольных мероприятий Центр установил, что под предлогом
наличия в собственности усопшего К.В. объекта недвижимости, расположенного в
муниципии Кишинэу, по адресу правопреемницы Т.Л., была выслана квитанция на оплату,
по которой усопшее лицо обязано было погасить пошлину (в том числе, пеню) по объекту
недвижимости, который фактически ему не принадлежал.
Учитывая положения ст. 160 части (2) Налогового кодекса, ГГНИ (налоговый орган,
в чью обязанность вменено обеспечение обучения сборщика налогов и предоставление
помощи в исполнении полномочий) передал к исполнению предполагаемое налоговое
обязательство, а управление администрирования местных налогов и сборов (УАМНС)
примэрии
муниципия
Кишинэу,
в
качестве
сборщика
налогов
(служащего,
ответственного за взимание официальных налогов и сборов) обработало неточную
информацию, относящуюся к предполагаемому правообладателю объекта недвижимости и
к непогашенным долговым обязательствам по этому имуществу, что противоречит
положениям Закона о защите персональных данных, в частности:
1) положениям ст. 4 части (1) лит. a) – извещение к оплате не содержало кадастрового
номера и адреса спорного объекта недвижимости, но устанавливало так называемое
обязательство провести перечисление;
2) положениям ст. 5 части (1) – в отсутствие права собственности на спорный объект
недвижимости и, соответственно, долговых обязательств по нему, передача
извещения к оплате и обработка персональных данных в обязательном порядке
осуществляется с согласия субъекта этих данных (в данном случае, его
правопреемниками).
12
По результатам предпринятых Центром соответствующих мер контролер
персональных данных (ГГНИ) и уполномоченное им лицо (УАМНС) исключили неточную,
неподлинную и недостоверную информацию, отнесенную к покойному К.В.
Отметим, что хотя действия ГГНИ по обработке, хранению, использованию и
раскрытию через передачу неточной информации ограниченного доступа в адрес УАМНС
содержали признаки правонарушений по деяниям, предусмотренным ст. 741 частью (3),
частью (4) Кодекса о правонарушениях, в соответствии с положениями ст. 30 части (2) того
же Кодекса юридические последствия, которые должны были наступить, оказались
ограниченными по причине истечения срока давности (3 месяца с момента совершения
правонарушения).
1.3 Рассмотрение жалоб и других обращений субъектов персональных данных
В период 2014 года сотрудники Центра рассмотрели в целом 302 жалобы и другие
обращения со стороны физических лиц, из которых 202 признаны, 12 отклонены, а в 88
случаях были представлены подробные разъяснения.
В 93 случаях зарегистрированные жалобы и обращения послужили основанием для
инициирования Центром проверок законности операций по обработке персональных
данных.
В 68 случаях граждане обращались в Центр с запросами проверки законности
операций по консультированию и извлечению относящихся к ним персональных данных
запрашивали
консультации
по
корректному
применению
некоторых
положений
законодательства о защите персональных данных, определению некоторых данных к
категории
официальной
информации
ограниченного
доступа,
ссылались
на
предполагаемые факты нарушения принципов защиты персональных данных, прав в
качестве субъекта персональных данных, в 65 случаях заявители потребовали
подтверждения того, что относящиеся к ним данные были или не были обработаны
контролером,
также
запрашивали
информацию
о
целях
обработки,
категориях
использованных данных и о получателях или о категориях получателей, которым были
раскрыты данные, в 18 жалобах было заявлено право на возражение субъекта персональных
данных, 6 обращений были отосланы в адрес компетентных органов, а в 20 случаях были
отражены проблемы другого рода.
В этот же период времени проведена аудиенция 377 лиц, которым была разъяснена
процедура реализации своих прав в качестве субъектов персональных данных, а также
порядок взаимодействия с контролерами персональных данных до подачи жалобы в Центр.
13
Хотя, как уже отмечалось, динамика количества жалоб несколько снизилась, их
содержание показывает повышение уровня осознания лицами своих прав в качестве
субъектов персональных данных, а затронутые в обращениях проблемные аспекты
относятся к сферам, в которых принципы защиты персональных данных внедряются в
менее значительной степени. Следовательно действия, предпринятые Центром, носили
более комплексный характер, в том числе на уровне рекомендаций по изменению
законодательной и нормативно-правовой базы, предоставления инструкций, необходимых
для приведения операций по обработке персональных данных в соответствии с Законом о
защите персональных данных, принимая во внимание специфику деятельности контролера,
но и законодательной базы, регулирующей тот или иной сектор, при том, что в некоторых
случаях быдо трудно четко установить, учитывая конфликты нормативных положений,
наличие/отсутствие нарушений права на личную, семейную и частную жизнь.
Таблица №2
Анализ петиций и других обращений в Центр
в течение 2014 года (в сравнении с предыдущими годами)
Сравниваемый период
Рассмотренные
петиции
допущенные
В том числе:
отклоненные
2009 год
14
4
1
подробные
разъяснения
9
2010 год
21
17
1
3
2011 год
90
42
13
35
2012 год
214
98
5
111
2013 год
316
188
12
116
2014 год
302
202
12
88
Динамика количества петиций, направленных в Центр на протяжении 2009 - 2014 гг.
14
316
302
214
90
14
2009
21
2010
2011
2012
2013
2014
количество петиций
1.4 Представительство интересов Центра в судебных инстанциях
a)
Исполнение полномочий по представительству в административном
суде.
На протяжении 2014 г. интересы Центра были представлены в судебных инстанциях
в рамках 22 дел (21 дело в административном суде, 1 гражданское дело), в том числе: 5 раз
Центр выступал в качестве истца, в 13 - как ответчик, в 4 - как третье лицо/орган, который
дает заключения.
В конце 2014 года судебные инстанции рассмотрели 8 дел в административном суде,
подготовленных Центром, еще 5 находятся в судебных инстанциях на стадии рассмотрения.
По результатам представительства Центра в судебных инстанциях при рассмотрении
дел в административном суде 7 из 8 решений, вынесенных Центром, были признаны как
обоснованные и законные и, таким образом, претензии истцов были отклонены.
Только по одному делу суд решил отменить решение Центра, а именно,
решение, согласно которому Высшая судебная палата была обязана незамедлительно
15
прекратить операции по обработке персональных данных методом публикации
персонализированных судебных решений на официальной странице www.csj.md.
Учитывая
опасность
автоматической
обработки
специальных
категорий
персональных данных, которые относятся к судящимся лицам и деликатные аспекты их
личной и частной жизни, а также для обеспечения последовательности информирования
общества относительно этого резонансного случая, целесообразно отразить результаты
данного рассмотрения в судебной инстанции.
Рассмотрение в судебной инстанции
(результат рассмотрения дела, описанного в примере №12 в
Отчете деятельности Центра в 2013 г.)
Напомним, что проблема нарушения принципов защиты персональных данных при
публикации персонализированных судебных решений в системе учета, созданной на
официальной странице www.csj.md. возникла в 2010 г., будучи представлена в Отчете о
деятельности Центра в 2013 г. (стр. 120-121).
Таким образом, вопреки усилиям, приложенным Центром на протяжении 2013 г.,
Высшая судебная палата не вняла требованию о прекращении действий, проведенных
вопреки принципам защиты персональных данных, опротестовав решение Центра в
порядке административного производства в суде Буюкань, в результате чего решением от
24 января 2014 г. выиграла дело в суде первой инстанции.
Центр опротестовал решение суда первой инстанции как нелегальное, однако, 17
апреля 2014 года, Коллегия по гражданским, коммерческим и административным делам
Апелляционного суда Кишинэу отклонила поданную апелляцию с оставлением в силе
решения суда первой инстанции.
Посчитав
ошибочными
выводы
апелляционной
инстанции,
Центр
подал
кассационную жалобу, отклоненную Коллегией по гражданским, коммерческим и
административным делам Высшей судебной палаты, расценившей ее как неприемлемую.
Так, судебная инстанция не приняла в расчет позицию Национального органа
контроля в области обработки персональных данных в части необоснованного
вмешательства
в
частную
жизнь
судящихся
лиц
вследствие
публикации
индивидуализированных судебных решений.
В частности, особую значимость для области защиты персональных данных в
Республике Молдова представляет Постановление Конституционного суда №13 от 22 мая
2014 г. о контроле конституционности п.72 ст. IX Закона № 324 от 23 декабря 2013 года об
16
изменении и дополнении некоторых законодательных актов (налоговый учет лиц
свободных профессий на основе IDNP).
Следует отметить, что основанием для дела послужило обращение депутата
Парламента Республики Молдова, который посчитал, что исключением словосочетания «а
также каждому публичному нотариусу, адвокатскому кабинету, лицу, занимающемуся
частной
детективной
и
охранной
деятельностью,
судебному
исполнителю,
индивидуальному бюро медиатора, объединенному бюро медиаторов» из ст.162 части (1)
лит. a) Налогового кодекса, а также внесение части (6) в ст. 165 Налогового кодекса,
нарушаются ст. 1 части (3), ст. 4 части (1) и (2), ст. 7, 8, 16, 23, 25, 28 и 54 Конституции
Республики Молдова и ряда международных актов.
В процессе рассмотрения этого дела Конституционный суд запросил позицию
Центра в части поднятой проблемы.
В конечном итоге Конституционный суд признал обращение депутата, объявив
неконституционным п.72 ст. IX Закона №324 от 23 декабря 2013 г., приведя следующие
аргументы, цитируем: «защита персональных данных имеет фундаментальное значение для
обеспечения права на частную жизнь. Оспариваемые положения, которые позволяют
доступ неограниченного числа лиц к государственному идентификационному номеру
(IDNP) физического лица свободной профессии, вопреки его воле, устанавливают
несоразмерное с преследуемой целью вмешательство в частную жизнь лица, чем нарушают
ст.28 Конституции». В данном контексте следует отметить, что до обращения суда, при
рассмотрении
обращений
профессиональных
ассоциаций
нотариусов,
судебных
исполнителей и адвокатов Центр неоднократно обращал внимание на несоответствие
положений ст. 162 части (1) лит. a) Налогового кодекса положениям Конвенции о защите
частных лиц в отношении автоматизированной обработки данных личного характера, ст. 8
части (2) Конвенции о защите прав человека и основных свобод, ст. 28 Конституции
Республики Молдова и принципам защиты персональных данных, закрепленным в Законе
о защите персональных данных, рекомендуя пересмотр ст.162, что, однако, не вызвало
должного внимания со стороны публичных органов, ответственных за продвижение
политики государства в сфере налогового управления; тем не менее данный пример
наглядно подтверждает комплексность проблем, которые призван решать Центр.
1.
Исполнение полномочий по представительству в суде в качестве
констатирующего агента.
В течение 2014 года Центр на основании положений ст. 4234 Кодекса о
правонарушениях составил и отправил на рассмотрение в суд, а также участвовал в
17
рассмотрении дел о правонарушениях по существу судом Буюкань и, в кассационном
порядке, Апелляционной палатой Кишинэу.
В целом сотрудники управления учета и контроля Центра участвовали в качестве
представителей в 169 делах о правонарушениях, что на 124 заседаний больше, чем в 2013
году, в том числе:
-
122 состоялись в рамках суда сектора Буюкань, в среднем по 2 часа каждое;
-
47 рассмотрено в кассационном порядке в Апелляционной палате Кишинэу,
что потребовало по 5 часов по каждому из дел.
Количество судебных заседаний по делам о правонарушениях в сравнении с 2013-2014 гг.
47
122
45 169
Суд сектора Буюкань
Апелляционный суд Кишинэу
Соответственно простой подсчет показывает, что вместе с ростом количества
судебных заседаний увеличилось время, необходимое для участия в них - около 479
рабочих часов, соответственно, распределяемое между 5 сотрудниками управления учета и
контроля.
Итак, разделив 169 судебных заседаний на 41 дело об административных
правонарушениях, рассмотренных в течение 2014 года, получаем средний показатель в не
менее 4 заседаний, проведенных в рамках каждого дела. Данная статистика характерна
скорее для уголовных дел.
В этой связи уточним, что в данный период времени суд сектора Буюкань из 41 дела
о правонарушениях, находящегося в производстве, в 21 деле вынес «решения» о
прекращении
дел
о
правонарушениях,
возбужденных
Центром
по
причине
«фактического отсутствия» вмененного правонарушения. Соответственно не будучи
согласным с решениями инстанции Центр обжаловал их в кассационном порядке в
Апелляционной палате Кишинэу.
18
Отметим, что из 21 кассационной жалобы, поданной Центром, 20 были
удовлетворены Апелляционной палатой Кишинэу, а из 17 кассационных жалоб, поданных
правонарушителями, только 5 были удовлетворены апелляционным судом.
Кассационные жалобы поданные в период 2014
года
21
20
17
5
Кассационные жалобы,
поданные Центром
Кассационные жалобы,
удовлетворенные
Апелляционным судом
Кишинэу
Кассационные жалобы,
поданные
правонарушителями
Кассационные жалобы,
удовлетворенные
Апелляционным судом
Кишинэу
Не в последнюю очередь следует упомянуть, что из 41 дела о правонарушениях,
подлежащих слушанию в судебной инстанции, 28 Центр выиграл, 5 прекращены, а 8
находятся на этапе рассмотрения.
Для более полной картины того, как действуют рычаги принуждения, используемые
Центром для исполнения своих полномочий, в частности, через возбуждение
делопроизводства о правонарушениях в отношении контролеров персональных данных в
публичном/частном секторе, чьи операции по обработке персональных данных были
квалифицированы как противоречащие закону, приведем следующую информацию:
19
в частном секторе
32 дела о
правонарушениях были
рассмотрены в суде
в публичном секторе
25 дел о
правонарушениях были
рассмотрены в суде
• категории лиц, в отношении которых рассмотрены дела
о правонарушениях:
• • экономические агенты, в том числе работники
государственных предприятий;
• • адвокаты;
• • детективы;
• • физические лица;
• • работники высших учебных заведений;
• • страховые компании.
• категории лиц, в отношении которых рассмотрены дела
о правонарушениях:
• • прокуроры Генеральной прокуратуры;
• • судебные исполнители;
• • работники Национального инспектората по расследованиям
МВД;
• • работники Департамента пограничной полиции МВД;
• • примары.
Учитывая специфику (статус) категорий лиц/организаций, которые были вовлечены
в процедуру рассмотрения дел о правонарушениях, инициированных Центром (прокуроры,
полицейские, судебные исполнители, адвокаты и т.д.), а также требования безопасности
при обработке персональных данных, обязательные к исполнению для всей системы, а
также для каждого субъекта в отдельности, в данный период времени были отмечены
попытки вмешательства в осуществление правосудия, о чем были проинформированы
полномочные органы, а также руководство страны.
ГЛАВА II
ДЕЯТЕЛЬНОСТЬ ПО НАДЗОРУ ЗА ОБРАБОТКОЙ
ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Регистрация контролеров, баз данных и информационных систем, в
которых обрабатываются персональные данные
В 2014 г. Центр рассмотрел 274 уведомления, поданного контролерами
персональных данных, в соответствии с положениями ст. 23 и ст. 28 Закона о защите
персональных данных. Анализ содержания типовых бланков уведомлений выявил, по
сравнению с предыдущим годом, повышение степени сложности запросов, формулируемых
контролерами. Вместе с тем отмечается стабильный рост количества обращений
контролеров и/или обработчиков, в которых запрашивается уточнение определенных
20
аспектов, относящихся к обработке персональных данных. В этом смысле в течение 2014
года
сотрудниками
управления
учета
и
контроля
было
предоставлено
680
консультаций/инструкций по телефону и в офисе Центра. В основном они касались
вопросов:

обязанностей контролеров и обработчиков, определенных Законом о защите
персональных данных;

процедур регистрации и эффектов в результате ее выполнения;

необходимости сокращения количества категорий и операций по обработке
персональных данных до строго необходимых и только при наличии законной
цели и основания;

условий обработки персональных данных, обеспечивая защиту прав субъектов
данных;

определения статуса контролера или обработчика для операций по обработке
персональных данных в определенных управляемых системах учета и т.д.
Вместе с тем для проверки законности обработки персональных данных некоторыми
организациями, в том числе незарегистрированными в качестве контролеров в Регистре
учета контролеров персональных данных, когда были предпосылки нарушения законных
положений в данной сфере и несоблюдения прав данных субъектов персональных данных,
были предприняты 65 самостоятельных проверок.
Следует отметить, что в отчетном периоде времени был отмечен количественный
рост уведомлений, поданных контролерами в публичном секторе - органами
центральной публичной власти (министерствами и подведомственными учреждениями),
что является следствием направления Центром обращения Правительству Республики
Молдова о некоторых аспектах, относящихся к несоблюдению центральными органами
публичной власти положений Закона о защите персональных данных, на основании
которого было издано указание премьер-министра Республики Молдова №1220-230 от 9
сентября 2014 г., которое предусматривало принятие мер, вытекающих из законных
положений в сфере защиты персональных данных. В то время как большинство органов
центральной публичной власти последовали данному указанию и, по меньшей мере,
инициировали процедуры уведомления, некоторые государственные органы, например,
Министерство финансов, по-прежнему не уделяют должного внимания данной сфере, а
их руководители могут быть привлечены к ответственности за правонарушения.
Также в результате учебных мероприятий, организованных Центром, в которых
участвовали представители 45 национальных судебных инстанций, которые были нацелены
на шаги, для приведения в соответствие деятельности по обработке персональных данных
21
с законными положениями в данной области, большинство судебных инстанций
приступили к процедуре уведомления управляемых систем учета персональных
данных и регистрации в Регистре учета контролеров персональных данных. В этом
смысле следует отметить, что до того, как Центр предпринял указанные действия,
некоторые инстанции яростно противились законному обязательству привести свою
деятельность в соответствие с принципами защиты персональных данных.
Вместе с тем в течение 2014 года Центр подготовил для всех политических
образований в Республике Молдова инструкции по приведению в соответствие
деятельности по обработке персональных данных с положениями Закона о защите
персональных данных. Таким образом, следует отметить факт соблюдения указанных
законных
положений
некоторыми
политическими
партиями,
которые
зарегистрировались в качестве контролеров в Регистре учета контролеров
персональных данных.
Среди субъектов, которые уведомили системы учета персональных данных и
зарегистрировались в качестве контролеров, числились организации из финансовобанковской сферы, торговли и предоставления услуг, полиции, здравоохранения,
образования и пр.
В основном были уведомлены обработки персональных данных в целях: учета
сотрудников, клиентов, пациентов, бухгалтерского учета, мониторинга/безопасности лиц,
пространств
и/или
государственного/частного
имущества
посредством
систем
видеонаблюдения, мониторинга доступа лиц и пр.
В процессе консультаций/инструкций, предоставленных контролерам данных и
обработчикам, сотрудники Центра рекомендовали/разъяснили в частности требование
сбора у лиц только персональных данных, строго необходимых для реализации четко
определенной цели, ясной и законной, получения согласия субъекта на обработку
персональных данных, имеющих к нему отношение, если нет законных положений,
прямо регулирующих операцию обработки, информирование субъекта о правах,
гарантированных Законом о защите персональных данных и пр.
В дальнейшем в процессе рассмотрения уведомлений, поданных в «единое окно»
Регистра учета контролеров персональных данных, сотрудники управления учета и
контроля Центра обязали контролеров персональных данных максимально сократить
категории персональных данных, подлежащих обработке.
В зависимости от специфики проводимых действий, ставших предметом обработки,
подлежащей уведомлению, сотрудники Центра указали контролерам персональных данных
на необходимость внедрения положений Закона о защите персональных данных в
22
соотнесении с законодательной базой, регулирующей области деятельности каждого
контролера в отдельности. Это обстоятельство в совокупности с процедурами,
подлежащих выполнению для регистрации контролеров персональных данных и
управляемых ими систем учета, свидетельствует об острой необходимости увеличения
численного состава Центра, в частности в рамках управления учета и контроля.
Для справки положение дел в части регистрации контролеров и информационных
систем, в рамках которых обрабатываются персональные данные в Регистре учета
контролеров персональных данных, представлено в нижеприведенной таблице:
Таблица № 3
Отчетный
период
2012
2013
2014
Всего
Количество
зарегистри-
рованных
контролеров
17
83
107
207
Количество зарегистрированных
баз данных, информационных
систем, в которых хранятся и
обрабатываются персональные
данные
Количество
решений об
отклонении
заявок на
регистрацию
31
201
274
506
1
19
27
47
Количество решений
об отклонении заявки
на регистрацию,
оспоренных в порядке
административного
производства
0
0
0
0
В данном контексте напомним, что процедуры уведомления и регистрации должны
осуществляться контролерами персональных данных или обработчиками отдельно по
каждой системе учета персональных данных, посредством приложения, доступного на
интернет-сайте www.registru.datepersonale.md, в соответствии с положениями ст. 23-28
Закона о защите персональных данных и Положения о Регистре учета контролеров
персональных данных, утвержденного Постановлением Правительства № 296 от 15 мая
2012 года.
Следует отметить низкий уровень осознания организациями, которые владеют
системами учета персональных данных, законных обязательств по их уведомлению, были
отмечены и случаи явного пренебрежения соблюдением соответствия деятельности по
обработке персональных данных с положениями Закона о защите персональных данных. В
подобных случаях в течение 2014 года Центр возбудил 16 дел о правонарушениях на
основании ст.741 части (2) Кодекса о правонарушениях: обработка персональных данных
без уведомления органа контроля в области обработки персональных данных, а также
обработка персональных данных контролером, не зарегистрированным в установленном
порядке. В этом смысле уместно привести пример нарушения положений ст.23 Закона о
защите персональных данных:
Пример № 10
23
Незаконная обработка персональных
данных рядом экономических агентов
В ходе проверки по жалобе гр. M.T., который запросил проверку законности
обработки относящихся к нему персональных данных, хранящихся в различных
государственных информационных ресурсах, установлено, что сотрудник компании
«XXX» ООО получил доступ к персональным данным истца, хранящимся в Регистре
недвижимого имущества. Учитывая, что данное предприятие обрабатывало персональные
данные, не будучи зарегистрированным в Регистре учета контролеров персональных
данных, Центр проинформировал компанию «XXX» ООО относительно обязанности
привести свою деятельность в части обработки персональных данных в соответствие с
законными положениями в данной области. Вместе с тем у данного предприятия была
затребована информация о наличии документа, регулирующего политику безопасности
обрабатываемых персональных данных, сведений о причинах несоблюдения положений ст.
23 и ст. 34 части (4) Закона о защите персональных данных, степени внедрения положений
Закона о защите персональных данных и Требований по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных, утвержденных Постановлением Правительства №1123 от 14 декабря 2010 г., при
обработке этих персональных данных в управляемых системах.
Учитывая то обстоятельство, что в ответ на ходатайство Центра со стороны ,,XXX”
ООО никакого ответа не поступило, было повторно затребовано представление
вышеуказанной информации, а компании указано, что в случае непредставления требуемой
информации, будет возбуждено производство о правонарушении на основании ст. 74² части
(1) Кодекса о правонарушениях. И на этот раз компания проигнорировала обязанность
представить требуемую информацию, направив Центру невнятный ответ и сославшись на
то, что ее деятельность не подпадает под действие Закона о защите персональных данных.
Таким образом, вопреки предпринятым действиям, ,,XXX” ООО не представила
конкретного ответа на ходатайства Центра, не зарегистрировалась в Регистре учета
контролеров персональных данных и вообще не проявила никаких намерений соблюсти
процедуру уведомления, вопреки положениям ст. 20 части (3), 23 и 34 части (4) Закона о
защите персональных данных.
Таким образом, Центром было возбуждено производство о правонарушении в
отношении компании ,,XXX” ООО по деяниям, предусмотренным:

- ст.741 частью (2) Кодекса о правонарушениях - обработка персональных данных
без уведомления органа контроля в области обработки персональных данных, а
24
также обработка персональных данных контролером, не зарегистрированным в
установленном порядке;

- ст. 74² частью (1) Кодекса о правонарушениях: отказ в предоставлении сведений
или документов, запрошенных Национальным центром по защите персональных
данных в процессе осуществления контрольных функций, предоставление
недостоверной
или
неполной
информации,
а
равно
непредоставление
запрашиваемых сведений и документов в установленный законом срок.
2.2
Авторизация операций по трансграничной передаче персональных
данных
В соответствии с положениями ст. 32 Закона о защите персональных данных Центр
уполномочен определять уровень защиты прав субъектов персональных данных и данных,
предназначенных для трансграничной передачи, в частности с учетом условий, в которых
выполняется передача данных, природы этих данных, цели и длительности предложенной
обработки или обработок, страны назначения, ее законодательства, а также с учетом
профессиональных норм и мер безопасности, соблюдаемых в государстве назначения. В
случае
если
обеспечиваемый
страной
назначения
уровень
защиты
является
неудовлетворительным, Центр вправе принять решение о запрете трансграничной передачи
данных.
В течение 2014 г. в Центр было подано 62 заявления на авторизацию
трансграничной передачи персональных данных, из которых 28 – с уведомлениями через
«единое окно» и 34 - по официальным ходатайствам.
Во всех этих случаях Национальный орган контроля в области обработки
персональных данных учел совокупность условий, которые обосновывают операции
передачи персональных данных в другие государства, а также наличие достаточных
гарантий по защите данных и обеспечению прав субъектов персональных данных.
Из общего количества в 62 заявления на авторизацию трансграничной передачи
персональных данных было авторизовано 37 подобных операций с одновременным
предоставлением в большинстве случаев необходимых инструкций. В остальных 25
случаях Центр запретил передачу данных за пределы страны, а некоторые примеры этого
приводятся в дальнейшем.
Пример №11
Запрет операций по трансграничной
передаче персональных данных
25
Контролер персональных данных YYY, запросив авторизацию трансграничной
передачи в адрес правовых органов другого государства данных, относящихся к лицу,
подозреваемому в совершении незаконного деяния, запросил авторизацию передачи
данных всех субъектов, предположительно находившихся в транспортных средствах, на
которых подозреваемый возможно пересек государственную границу Республики
Молдова, в течение продолжительного интервала времени, без аргументирования цели и
законного основания для сбора этих данных. Исходя из ходатайства государственных
органов страны назначения, национальный контролер YYY должен был передать данные о
фамилии, имени, отчестве и информации об удостоверяющих личность документов этих
лиц, что противоречит принципу защиты персональных данных и необоснованно нарушает
права физических лиц (тем более, в ситуации, когда гипотетически данный субъект пересек
государственную границу на автобусе, в котором находилось еще 50 человек).
Таким образом, на основании положений ст. 4 части (1) лит. c) Закона о защите
персональных данных, который устанавливает, что персональные данные, являющиеся
предметом обработки, не должны быть избыточными исходя из цели, для которых
собираются и/или обрабатываются впоследствии, Центр не разрешил трансграничную
передачу персональных данных лиц, предположительно находившихся в транспортных
средствах, на одном из которых гипотетически данный субъект пересек государственную
границу, посчитав эту передачу избыточной в сравнении с целями, для которых была
запрошена официальная информация ограниченного доступа.
Пример № 12
Запрет операции по трансграничной
передаче персональных данных
На основании запроса о разрешении на трансграничную передачу персональных
данных, относящихся к гр. A.Л., в судебную инстанцию другого государства Центр
рассмотрел запрос через призму совокупности норм, установленных Законом о защите
персональных данных, Конвенцией по вопросам гражданского процесса, подписанной в
Гааге 1 марта 1954 г., к которой Республика Молдова присоединилась Постановлением
Парламента №1136-XII от 4 августа 1992 г. (Конвенция), и Соглашением между
Республикой Молдова и страной назначения об юридической помощи по вопросам
гражданского процесса (Соглашение).
Следует отметить, что в соответствии с положениями ст. 32 Закона о защите
персональных данных трансграничная передача персональных данных, которые являются
предметом обработки или которые подлежат обработке после передачи, может состоятся
только с разрешения Центра в установленном законом порядке и только в случае, когда
26
государство назначения обеспечивает адекватный уровень защиты прав субъектов
персональных данных и подлежащих передаче данных. Необходимость разрешения
отпадает тогда, когда трансграничная передача персональных данных осуществляется на
основании
положений
специального
закона
или
международного
договора,
ратифицированного Республикой Молдова, однако в этих ситуациях специальный закон
или международный договор должны содержать гарантии защиты прав субъекта
персональных данных.
Было установлено, что страна назначения не ратифицировала Конвенцию о защите
частных лиц в отношении автоматизированной обработки данных личного характера,
открытую к подписанию в Страсбурге 28 января 1981 г., не имеет в данной области
принятого закона и не располагает Национальным органом по защите персональных
данных.
Более того, как положения Конвенции, так и Соглашения не содержат гарантий
соблюдения прав субъектов персональных данных, в связи с чем не могут служить
законным основанием для осуществления трансграничного перевода персональных данных
без разрешения Центра.
Таким
образом,
соотнеся
фактическую
ситуацию
(отсутствие
документа,
подтверждающего наличие согласия субъекта персональных данных — A.Л.), с
юридической
(отсутствие
законных
оснований,
узаконивающих
единичную
трансграничную передачу), Центр не выдал разрешения на трансграничную передачу
запрошенных персональных данных.
ГЛАВА III
ЗАКОНОТВОРЧЕСКАЯ ДЕЯТЕЛЬНОСТЬ, КОНСУЛЬТИРОВАНИЕ И
УТВЕРЖДЕНИЕ ПРОЕКТОВ НОРМАТИВНЫХ АКТОВ
3.1 Законотворческая деятельность Центра
В 2014 г. Центр активно участвовал в процессе разработки ряда важных документов,
нацеленных на регулирование сферы защиты персональных данных на национальном
уровне, а также упрочения административных и организационных возможностей
Национального органа контроля в области обработки персональных данных.
27
В этом смысле отметим следующее:
a)
Разработка законопроекта по изменению и дополнению Закона №182-XVI от
10 июля 2008 об утверждении Положения о Национальном центре по защите персональных
данных, структуры, предельной численности и порядка финансирования Национального
центра по защите персональных данных и проекта Постановления Парламента об
утверждении структуры и предельной численности Национального центра по защите
персональных данных.
Ратифицируя Конвенцию о защите частных лиц в отношении автоматизированной
обработки данных личного характера и Дополнительный протокол к Конвенции о защите
лиц в связи с автоматизированной обработкой персональных данных, в отношении органов
надзора и трансграничных потоков данных, а также вместе с ратификацией Законом №112
от 2 июля 2014 г. Соглашения об ассоциации между Республикой Молдова, с одной
стороны, и Европейским Союзом и Европейским сообществом по атомной энергии и
их государствами-членами, с другой стороны, на условиях положений ст.13 и приложения I
к этому Соглашению Республика Молдова обязалась не только обеспечить высокий уровень
защиты персональных данных в соответствии с юридическими инструментами и
международными стандартами ЕС и Совета Европы, но и обеспечить независимость органа
контроля.
В этой связи, исходя из факта значительного роста объема мероприятий, в которых
участвуют сотрудники Центра, в условиях нехватки персонала, ответственного за
обеспечение процесса нормальной работы Национального органа, призванного неусыпно
следить за адекватным уровнем защиты персональных данных в Республике Молдова, с
целью упрочения и обеспечения эффективного функционирования, на условиях
непредвзятости и независимости от других органов публичной власти, обеспечения
необходимыми человеческими и финансовыми ресурсами, были разработаны эти два
важных проекта.
Фактически до 1 января 2015 года посредством этих двух проектов законодательных
актов предусматривалось увеличить численность персонала с 21 до 48, в том числе создать
новые подразделения Центра, а именно: Службу по связям с масс-медия, Службу
внутреннего аудита, Службу внутренней безопасности, Службу секретариата и Кадровую
службу.
К сожалению, оба проекта получили отрицательный отзыв Министерства финансов
Республики Молдова, а предложения и замечания, сформулированные этим органом,
свидетельствуют о недостаточной степени понимания важности соблюдения права на
частную жизнь в правовом государстве. Вместе с тем представленные этим органом отзывы,
28
содержали предложения и замечания, которые в случае их принятия, могли бы привести к
обратному от преследуемого результата, а именно - к ослаблению функциональных
возможностей органа.
b)
Утверждение Приказом директора Национального центра по защите
персональных данных №14 от 12 мая 2012 г. Положения о проверке законности обработки
персональных данных.
Разработка данного ведомственного акта призвана заполнить процессуальную
пустоту в части проверки законности обработок персональных данных, таким образом, в
совокупности с остальной специальной нормативной базой, определив в полной мере
процессуальную составляющую проверок.
Цель Положения о проверке законности обработки персональных данных состоит в
том,
чтобы
определить
процедуру
проведения
проверки
законности
обработок
персональных данных, в его содержании индивидуализированы операционные методы,
компетенции проверок, определена адекватная система гарантий проверки выполнения
данных мероприятий с целью предупреждения любых возможных злоупотреблений.
Также документ устанавливает определенные конкретные задачи Центра в качестве
Национального надзорного органа за соответствие обработок персональных данных,
обеспечение основных прав и свобод физического лица в части обработки персональных
данных в частности права, гарантированного положениями ст. 28 Конституции Республики
Молдова на неприкосновенность интимной, семейной и частной жизни.
Для того, чтобы избежать различные толкования в процессе осуществления
проверок, все процессуальные меры определены в 11 главах Положения, в которых
подробно указан порядок предпринимаемых действий. Также в случае поступления от
граждан жалоб на злоупотребления, допущенные сотрудниками Центра в рамках проверки,
в том числе самостоятельно предпринятой в инициативном порядке сотрудниками,
специально назначенному лицу в рамках органа надлежит провести проверку законности
действий проверяющих.
c)
В 2014 году Центр разработал специальные инструкции, которые должны в
дальнейшем утверждаться административными актами (руководящими указаниями) для
приведения обработки персональных данных в различных секторах в соответствие с
положениями законодательства о защите персональных данных.
Так, в соответствии с положениями ст. 20 части (1) лит. с) Закона о защите
персональных данных Центр разработал в 2014 году:
-
проект Инструкций по обработке персональных данных в сфере образования;
29
проект Инструкций по обработке персональных данных в банковско-
-
финансовой сфере.
Целью данных Инструкций является приведение операций по обработке
персональных данных в секторе образования и банковско-финансовой сфере в соответствие
с принципами, определенными законодательством, регулирующим область защиты
персональных данных.
Оба проекта были переданы на согласование в профильные учреждения, являясь
доступными
общественному
мнению
на
официальной
веб-странице
Центра
http://datepersonale.md/ru/transp_consult/.
3.2 Деятельность по согласованию проектов нормативных и законодательных
актов
Исходя из функциональных компетенций, но и в соответствии с положениями Закона
о законодательных актах, Закона о нормативных актах Правительства и других органов
центрального и местного публичного управления в 2014 году Центр согласовал 90 проектов
нормативных и законодательных актов в части защиты прав и свобод граждан в связи с
обработкой персональных данных.
Для обеспечения прозрачности деятельности в данном контексте, но и с целью
обнародования позиции по согласованным проектам полные тексты всех заключений
Центра публикуются на официальной веб-странице Национального органа контроля в
области
обработки
законодательных
и
персональных
нормативных
данных,
актов,
в
разделе
согласованные
«Деятельность/Проекты
Центром»
по
ссылке:
http://datepersonale.md/ru/Avize/.
Для примера отметим самые важные заключения в течение 2014 года:

Проект по изменению и дополнению Закона об адвокатуре, в рамках которого
рекомендовано дополнение текста рядом положений, призванных обеспечить соблюдение
принципов защиты персональных данных, в частности обязательства обеспечить
конфиденциальность и безопасность персональных данных, доступ к которым имел
адвокат, в том числе некоторые предложения, должные обеспечить совместимость
профессии адвоката;

В проект протокола по обмену информацией между налоговыми органами
государств-участников СНГ в целях предотвращения двойного налогообложения доходов /
имущества и уклонения от уплаты налогов было предложено включить больше гарантий по
защите прав субъектов персональных данных, предназначенных для трансграничной
передачи;
30

В законопроекте о внесении изменений и дополнений в некоторые
законодательные акты (Закон о статусе судьи, Уголовный кодекс, Закон о прокуратуре и т.д.),
сформулирован широкий спектр предложений, относящихся к: правовому режиму защиты
персональных данных, исключению разночтений, единообразному применению закона и
устранению конфликтов законодательного порядка;

В проект постановления Правительства об утверждении Положения об
организации и функционировании Информационной системы электронного управления
документами и записями было рекомендовано включить ряд технико-организационных мер,
необходимых для защиты персональных данных от неправомерных действий, а также
призванных обеспечить адекватный уровень безопасности и конфиденциальности в части
риска в связи с обработкой и характером обрабатываемых данных в соответствии с
требованиями законодательства в области защиты персональных данных;

В пакет документов, относящихся к Постановлению Правительства «Об
инициации переговоров и утверждении подписания Соглашения о сотрудничестве между
Республикой Молдова и Соединенными Штатами Америки о содействии внедрению
положений Акта о выполнении налоговых обязательств в отношении иностранных счетов
(FATCA), было рекомендовано включить ряд гарантий, исключающих нарушение
принципов защиты персональных данных и прав субъектов персональных данных;

Центр полностью поддержал Проект Соглашения о сотрудничестве между
Республикой Молдова и Евроюстом, сформулировав лишь некоторые предложения
редакционного характера, чтобы обеспечить точность перевода текста проекта и
соответствии с официальными текстами Конвенции Совета Европы о защите физических
лиц в отношении автоматизированной обработки данных № 108 и Директивы 95/46/CE
Европейского Парламента и Совета Европейского Союза от 24 октября 1995 года о защите
прав частных лиц применительно к обработке персональных данных и о свободном
движении таких данных;

К пакету документов об инициации переговоров по проекту Соглашения
между Министерством внутренних дел Республики Молдова и Государственной налоговой
службой Украины о сотрудничестве приграничных территориальных органов в борьбе с
экономическими преступлениями, был сформулирован ряд предложений по применению
принципов, определенных в Рекомендации № R(87) 15 Совета Министров (Совета Европы)
адресованной государствам-членам для регулирования использования персональных
данных органами полиции (принята Советом Министров 17.09.1987 г.), Рамочного решения
Совета Европейского Союза 2008/977/JAI от 27 ноября 2008 года о защите персональных
31
данных, обрабатываемых в рамках сотрудничества полиции и судебных органов в уголовноправовой сферах;

К проекту Постановления Правительства «Об утверждении Положения об
организации и функционировании автоматизированной информационной системы
«Государственный регистр оружия» был предложен ряд новых норм, в которых, в
частности, детально изложены процедуры сбора и введения информации, права доступа и
ответственность пользователей, методы автоматизированной проверки достоверности
данных из других государственных информационных ресурсов, юридические лица, которые
могут иметь доступ к этой информации, и пр.;

Относительно проекта положения о регистре сертификатов открытых ключей
Центра сертификации открытых ключей было рекомендовано, чтобы в соответствии с
Законом о регистрах и Законом о защите персональных данных указанный проект был
дополнен четкими нормами, излагающими ряд важных моментов, в частности: порядок
внутренних/внешних проверок, права субъектов персональных данных, условия и сроки
хранения данных и т.д.

По
проекту
Постановления
Правительства
о
создании
публичного
учреждения «Единая национальная служба экстренных вызовов 112» было рекомендовано
приведение его положений в соответствие с принципами, регулирующими защиту
персональных данных, в частности, тех, которые связаны с необходимостью обеспечения
адекватного режима безопасности и конфиденциальности обрабатываемых данных;

По проекту Постановления Правительства об утверждении изменений и
дополнений, которые вносятся в Концепцию информационной системы образования, был
сформулирован ряд предложений по предотвращению нарушений принципов защиты
персональных данных и прав субъектов персональных данных, в частности, через
настоятельную
рекомендацию
дополнить
проект
нормативными
положениями,
предусматривающими сбор персональных данных на основании четко сформулированного
письменного согласия субъекта персональных данных и при необходимости законного
представителя при автоматизированной обработке персональных данных;

По проекту Постановления Правительства о внедрении Закона № 325 от 23
декабря 2013 г. о тестировании профессиональной неподкупности было рекомендовано
приведение его положений в соответствие с принципами, регулирующими обработку
персональных данных, в частности тех, которые связаны с необходимостью обеспечения
адекватного режима безопасности и конфиденциальности обрабатываемых данных;

По проекту Постановления Правительства об утверждении Национального
плана действий по внедрению Соглашения об ассоциации Республика Молдова –
32
Европейский Союз на период 2014-2016 гг. предложено дополнение текста специальными
положениями, которые указывали бы на Центр как на учреждение, ответственное за
реализацию ряда действий в сфере защиты персональных данных и пр.
Динамика количества заключений, предоставленных Центром на протяжении 2009 - 2014 гг.
90
2009
53
41
33
2010
2011
2012
2013
2014
14
6
Процент публичных учреждений, запросивших заключения Национального центра по защите
персональных данных в течение 2014 года
33
Hациональная комиссия по
финансовому рынку
Государственная Канцелярия
Министерcтво финансов
25
20
Министерство внутренних дел
15
Министерство юстиции
10
Министерство
информационных технологий
и связи
другие органы публичной
власти
5
0
Номер согласований на орган
ГЛАВА IV
ПРОЗРАЧНОСТЬ ПРОЦЕССА ПРИНЯТИЯ РЕШЕНИЙ,
ОБЩЕНИЯ И СВЯЗЕЙ С ОБЩЕСТВЕННОСТЬЮ
4.1 Медиатизация деятельности Центра
Информационное обеспечение населения и представителей гражданского общества
продолжает осуществляться большей частью Национальным органом контроля в области
защиты персональных данных через официальную страницу органа: www.datepersonale.md,
на которой размещается информация о европейском и национальном законодательстве,
регулирующем область защиты персональных данных, о проектах законодательных актов,
разработанных и продвигаемых Центром, публикуются последние новости о событиях в
области защиты персональных данных на национальном и международном уровнях,
результаты рассмотрения особых случаев, проведенные отраслевые исследования,
организационная структура и контактные данные Национального органа контроля в
области защиты персональных данных, а также прочая информация, представляющая
общественный интерес. По состоянию на 31 декабря 2014 года зарегистрировано свыше 1
млн. 563 тысячи посещений сайта.
34
Наряду с этим было опубликовано 133 статьи и пресс-релиза, в которых освещены
важные аспекты деятельности Центра. Информационные агентства на основании прессрелизов и сообщений Центра, отразили деятельность Национального органа в 98 статьях,
обозначив значимость области защиты персональных данных и права, которыми
пользуются граждане в данной области. Также организовано и обеспечено участие в 38
семинарах, 15 заседаниях круглого стола, 11 тренингах для отраслевого продвижения
принципов защиты персональных данных.
Следует отметить, что прозрачность деятельности Национального органа контроля
в области обработки персональных данных была оценена средствами массовой
информации в специальном рейтинге учреждений Республики Молдова, поставляющих на
регулярной основе информацию прессе и составляющих пресс-релизы на тему
осуществляемой деятельности. В данной классификации Центр занял пятое место.
Отметим, что численность персонала Центра (21 сотрудник) на порядок ниже остальных
рейтинговых учреждений, среди которых: Генеральная прокуратура, Национальный центр
по борьбе с коррупцией и пр.
Для
обеспечения
интерактивной
платформы
информирования
общества
относительно деятельности Национального органа контроля в области обработки
персональных данных в 2014 году, был актуализирован дизайн официальной веб-страницы,
через создание нескольких новых рубрик, в том числе: «Декларация о надлежащем
управлении» в разделе «Деятельность» и «Внутренние документы» в разделе «Нормативнозаконодательные акты».
Центр констатирует, что медиатизация деятельности органа, значимости права на
защиту персональных данных, экономических и социальных выгод, вытекающих из
обеспечения государством адекватного уровня защиты персональных данных в процессе
предоставления различных электронных услуг, в том числе, уязвимости и опасности,
обусловленных автоматизированной обработкой в системах учета персональных данных
без обеспечения соответствующих требований к безопасности - остается и в дальнейшем
приоритетом и вместе с тем вызовом в ситуации, когда представители СМИ не проявляют
интереса к тематике в данной области.
4.2. Мероприятия по информированию и продвижению области защиты
персональных данных
Для обеспечения информирования общественности об аспектах, относящихся к
области защиты персональных данных, в течение 2014 года под эгидой и/или при участии
Центра был организован и проведен ряд мероприятий, в том числе:
35
1. 28 января в связи с празднованием Дня защиты данных Центр в сотрудничестве с
кафедрой теории и истории права юридического факультета Государственного
университета Молдовы организовал научную конференцию на тему „Вызовы
современного общества. Защита персональных данных: новый вызов?»
В мероприятии участвовало руководство Центра и Министерства просвещения,
декан юридического факультета Государственного университета Молдовы, руководитель и
сотрудники кафедры теории и истории права юридического факультета Госуниверситета,
представители Центра по правам человека в Молдове, Центра электронного правления,
Национального института юстиции, ГП «ЦГИР «Registru», IDIS «Viitorul», члены
Консультативного совета при Центре, доктора юридических наук, кандидаты наук,
университетские преподаватели, студенты.
В рамках научной конференции был представлен и обсужден ряд важных тем, в том
числе:

Роль юридических наук в решении современных практических проблем;
«Легитимация» области защиты персональных данных;

Защита персональных данных в международном праве;

Достижения и трудности в деле внедрения законодательства о защите персональных
данных;

Защита персональных данных: препятствие для предоставления квалифицированной
юридической помощи;

Обучение в области защиты персональных данных - вклад во внедрение
законодательной базы в Республике Молдова;

Юридическая сила Постановления Правительства №1123 от 14 декабря 2010 года об
утверждении Требований по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных;

Защита персональных данных в контексте стратегии «Цифровая Молдова 2020»:
возможности и вызовы;

Перспективы развития и модернизации структур, связанных с защитой данных,
через призму методов защиты и совокупных гарантий в отношении права на защиту
персональных данных;

Дуализм
и
гармонизация
таможенного
законодательства
через
призму
информационного права;

Необходимость включения в Гражданский кодекс Республики Молдова правовых
норм, регулирующих область защиты персональных данных;
36

Политика, продвигаемая Министерством просвещения с целью соблюдения
принципов защиты персональных данных. Задачи на среднесрочный и долгосрочный
периоды;

Почему Республика Молдова приняла Национальную стратегию в области защиты
персональных данных?
Работы, представленные докладчиками в рамках научной конференции, были
впоследствии опубликованы отдельным сборником, а результаты и сформулированные
участниками предложения включены в заключительное постановление, обнародованы и
представлены руководству государства и компетентным органам для принятия к сведению,
в том числе для разработки конкретных мер с целью создания условий для того, чтобы в
Республике Молдова был обеспечен адекватный уровень защиты персональных данных, а
право на защиту персональных данных было включено в перечень фундаментальных прав.
2. 26 февраля представители управления по вопросам права и связям с
общественностью и управления учета и контроля Центра провели рабочую встречу с
международными экспертами в рамках проекта Twinning «Консолидация Агентства по
трансплантации Республики Молдова и гармонизация законодательства в сфере качества и
безопасности веществ человеческого происхождения».
Цель рабочей встречи заключалась в анализе нормативно-правовой базы и
правоприменительных процедур, относящихся к области трансплантации органов, тканей,
клеток и медицинского оплодотворения с целью выявления возможных пробелов,
непоследовательностей и возможных улучшений, в том числе через призму требований
законодательства, регулирующего область защиты персональных данных.
Представители Центра ознакомили с требованиями национального законодательства
по защите персональных данных, которые должны соблюдаться в области трансплантации
органов, и выявили ряд проблем, связанных с обработкой специальных категорий
персональных данных, а эксперты в свою очередь представили рекомендации и
предложения по улучшению ситуации в этой части.
3. 27 февраля по инициативе председателя Совета по предупреждению и ликвидации
дискриминации и обеспечению равенства (Совета) зам. директора Центра участвовал в
заседании за круглым столом, в рамках которого были представлены различные аспекты,
относящиеся к принципам защиты персональных данных и к значимости обеспечения
адекватного режима их соблюдения в процессе внедрения положений Закона об
обеспечении равенства и Закона о деятельности Cовета по предупреждению и ликвидации
дискриминации и обеспечению равенства.
В частности в рамках мероприятия были обсуждены:
37
- понятие «персональные данные», а также практические методы реализации
принципов прозрачности деятельности Совета в процессе рассмотрения жалоб со стороны
лиц, которые считают себя жертвами дискриминации;
- действия, которые необходимо предпринять на институциональном уровне для
обеспечения
Советом
режима
конфиденциальности
и
безопасности
обработки
персональных данных, относящихся к сторонам возможного конфликта, а также
информаций, относящихся к дискриминационным действиям или поведению и
составляющих предмет жалоб;
- примеры самых частых констатированных Центром инцидентов безопасности в
процессе обработки персональных данных различными органами власти и причин,
вызвавших эти нарушения;
- принципы, которые должны учитываться Советом при создании систем учета, в
которых будут обрабатываться персональные данные и т. д.
Мероприятие стало платформой для дальнейшего развития партнерских отношений
с целью обеспечения практического внедрения принципов защиты персональных данных
Советом.
4. С 13 по 14 марта Центр совместно и при финансовой поддержке Инструмента
технической поддержки и обмена информацией TAIEX под эгидой Генерального
директората по расширению Европейской Комиссии организовали в Кишинэу тренинг на
тему: «Развитие институциональной политики безопасности в контексте защиты
персональных данных».
Тренинг был нацелен на обеспечение обмена знаниями и передовым опытом в части
обязанностей контролера данных, с учетом новейших технологий обработки персональных
данных и сопутствующих им рисков, а также категорий обрабатываемых данных. В
качестве преподавателей участвовали представители органов, действующих в области
защиты персональных данных из Испании, Чехии, Польши, Германии, Румынии, а также
представители Центра.
Событие проводилось в интерактивном режиме, в его рамках были обсуждены
различные аспекты, относящиеся к значимости и влиянию политики безопасности
персональных данных в процессе соблюдения принципов защиты персональных данных;
обязанности контролера по обеспечению режима безопасности и конфиденциальности
обрабатываемых персональных данных, в том числе по применению практических решений
для обеспечения идентификации и аутентификации пользователей; проблематика
идентификации управляемых систем учета и их уведомление; значимость и суть принципа
«проектируемой конфиденциальности» («Privacy by Design»); необходимость разработки
38
Положений о безопасности контролерами персональных данных; статус и компетенции
ответственного лица по защите персональных данных; неотъемлемые риски и методы
оценки роли юридических лиц, участвующих в процессе обработки персональных данных,
- обучено свыше 50 представителей различных органов публичной власти.
5. 4 апреля по инициативе представителей Департамента пограничной полиции
Министерства внутренних дел был организован семинар на тему «Практические аспекты
защиты персональных данных и разрешение проблем в связи с доступом к информации»,
событие, в котором в качестве преподавателя участвовал представитель управления учета
и контроля Центра.
В рамках мероприятия были представлены не только теоретические элементы, но и
рекомендации/практические решения для обеспечения условий, необходимых чтобы
операции по обработке персональных данных, осуществленные представителями
Пограничной полиции, соответствовали положениям законодательства, регулирующей эту
сферу.
6. 11 апреля по инициативе Министерства просвещения представители управления
по вопросам права и связям с общественностью провели учебный семинар, в рамках
которого были обсуждены принципы защиты персональных данных и необходимость
обеспечения адекватного для них режима защиты в рамках учреждений высшего
образования.
В мероприятии приняли участие представители Государственного университета
Молдовы, Технического университета Молдовы, университета Академии наук Молдовы,
Государственного аграрного университета Молдовы, Государственного университета
медицины и фармакологии им. Николае Тестемицану, Государственного университета им.
А. Руссо из Бэлць, Комратского государственного университета, Славянского университета
Молдовы, Экономической академии Молдовы, Академии им. Штефана чел Маре
Министерства внутренних дел, Академии музыки, театра и изобразительных искусств
Республики Молдова и Международного института менеджмента «IMI-NOVA», а темой
обсуждений стали вопросы, связанные с:

нормативными
требованиями
в
части
защиты
персональных
данных,
акцентированными Национальной стратегией в области защиты персональных данных,
утвержденной Законом № 229 от 10 октября 2013 года;

нормативной базой, регулирующей деятельность в образовании, и анализом ее
положений через призму принципов защиты персональных данных;

опытом Республики Молдова в области защиты персональных данных в
образовании, в том числе в ситуациях, расцененных Центром как нарушения.
39
7. 25 апреля по инициативе Центра по международному полицейскому
сотрудничеству
Генерального
инспектората
полиции
(Центр
полицейского
сотрудничества) был организован курс профессионального обучения на тему «Защита
персональных данных» - событие, в котором участвовал в качестве преподавателя
представитель управления по вопросам права и связям с общественностью Центра; в его
рамках были представлены теоретические рекомендации и практические решения с целью
обеспечения обработки персональных данных представителями Центра полицейского
сотрудничества в соответствии с принципами защиты персональных данных.
8. 16 мая представитель управления по вопросам права и связям с общественностью
Центра участвовал в заседании консультативного совета Департамента пенитенциарных
учреждений на тему «Наркотики и ВИЧ-инфекция в тюремной среде».
В рамках заседания обсуждено и проанализировано явление потребления
наркотиков и профилактики ВИЧ / СПИДа в тюрьмах; достижения и трудности в процессе
внедрения программ по снижению рисков; определены полномочия руководителей в
рамках применения Стратегии по борьбе с наркотиками.
В данном контексте, анализируя содержание дискуссий в рамках заседания, из
перспективы принципов защиты персональных данных сделан вывод о пока недостаточном
уровне знания законодательства о защите персональных данных и о недочетах в процессе
его внедрения, в частности, в том, что касается обеспечения режима конфиденциальности
персональных данных, относящихся к заключенным.
9. 16 июня по инициативе представителей ГП «Centrul Informaţional Agricol»
Министерства сельского хозяйства и пищевой промышленности Республики Молдова по
взаимному соглашению с Министерством сельского хозяйства Эстонии был организован
семинар на тему «Практические аспекты защиты персональных данных и обеспечения
адекватного режима их защиты в ходе проводимых мероприятий». В этом событии
участвовали в качестве преподавателей представители управления учета и контроля
Центра.
В частности был представлен общий обзор законодательных положений
европейских стран и Республики Молдова, относящихся к защите персональных данных, в
том числе, проанализированы условия и принципы обеспечения режима безопасности и
конфиденциальности
персональных
данных,
обработанных
в
управляемых
информационных системах, права субъектов персональных данных: на информирование,
на доступ, на возражение, на противодействие волевому решению, на вмешательство в
отношении данных, а также в случаи ограничения реализации прав субъекта данных.
40
Вместе с тем в ходе обсуждений с представителями различных структурных
подразделений упомянутых учреждений были представлены конкретные случаи, когда
Национальный орган контроля в области защиты персональных данных констатировал
факт нарушения принципов защиты персональных данных и даны ответы на вопросы,
которые затрагивали специфические аспекты и трудности, возникающие в процессе
практического применения законодательства в области защиты персональных данных.
10. 23-26 июня по инициативе Главной государственной налоговой инспекции в
соответствии с положениями Соглашения о сотрудничестве, подписанного Центром и
Главной государственной налоговой инспекцией, были организованы учебные семинары с
целью ознакомления сотрудников налоговой службы с областью защиты персональных
данных. В данном мероприятии участвовал в качестве преподавателя сотрудник
управления по вопросам права и связям с общественностью Центра.
В рамках семинаров было обращено внимание на теоретические и практические
аспекты применения Закона о защите персональных данных и Требований по обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных, утвержденных Постановлением Правительства №1123 от 14 декабря
2010 года; таким образом, прошли обучение около 120 сотрудников Государственной
налоговой службы.
11. 9 сентября представители управления учета и контроля Центра по инициативе
университета Академии наук Молдовы провели в его помещении семинар на тему
«Обеспечение защиты персональных данных в образовательных учреждениях».
Обсуждения затрагивали необходимость защиты персональных данных, которые
относятся к сотрудникам и студентам учреждения образования, а также вопросы гарантий
безопасности при автоматизированной обработке персональных данных.
12. 16 сентября сотрудники управления учета и контроля Центра вместе с
представителями Национального центра по борьбе с коррупцией провели в помещении
Национального органа контроля по защите персональных данных совместное заседание на
тему «Защита персональных данных в рамках уголовного, административного процесса
и/или урегулирование обращений в порядке, установленном Законом о доступе к
информации и Законом о петициях".
Обсуждения затронули тематику обеспечения надлежащей защиты персональных
данных, а также значимости соблюдения права на доступ к информации лиц, причастных к
проведению процессуальных действий.
Представители управления учета и контроля Центра представили необходимые
указания о порядке доступа и обработки персональных данных авторизованными
41
пользователями Национального центра по борьбе с коррупцией и настояли на
основательном использовании, с учетом принципа пропорциональности, информации
ограниченного доступа.
Вместе с тем было обращено внимание на необходимость налаживания отношений
конструктивного сотрудничества между двумя органами, без ущерба их компетенциям, с
целью соблюдения права на частную жизнь через призму применения национальных и
международных механизмов.
13. 2 октября по инициативе представителей районного совета Унгень сотрудники
Центра провели учебный семинар, в ходе которого были обсуждены принципы обработки
персональных данных и обеспечения адекватного режима их защиты в местной публичной
администрации.
В мероприятии приняли участие представители органов местного публичного
управления I и II уровня района Унгень и территориальных деконцентрированных служб.
Семинар проводился в интерактивном режиме, были проанализированы и уточнены
практические аспекты, с которыми сталкиваются участники семинара в служебной
деятельности, представлены соответствующие инструкции по процедурам регистрации в
качестве контролеров персональных данных и обозначены меры, подлежащие внедрению
органами местной публичной администрации для приведения обработок персональных
данных в соответствие с положениями закона.
14. 8 октября представители управления учета и контроля Центра по инициативе
Национального бюро статистики провели заседание с участием сотрудников данного
органа с целью их ознакомления с процедурой регистрации в качестве контролеров в
Регистре учета контролеров персональных данных.
Обсуждения были сосредоточены на необходимости сотрудничества, основанного
на принципе координации мероприятий, направленных на обработку персональных
данных, Центр выразил готовность предоставить консультативную поддержку, чтобы
обеспечить адекватный уровень защиты этих данных. На заседании представители Центра
ответили на поставленные вопросы, большей частью относящиеся к порядку сбора
персональных данных, используемых для статистических целей, о недопущении
вмешательства в частную жизнь субъектов данных.
Вместе с тем было обращено внимание на необходимость гарантирования высокого
уровня безопасности при обработке персональных данных, которыми располагает
Национальное бюро статистики, а также на ограничение сбора данных только теми
категориями информации, которые необходимы в статистических целях.
42
15. 15 октября Центр принял представителей Международного центра развития
миграции (МЦРМ) для ознакомления с достижениями и опытом Республики Молдова в
области защиты персональных данных.
В ходе обсуждений представители национального органа контроля в области защиты
персональных данных отметили успехи в этой области, достигнутые как Центром, так и
национальными органами власти, в частности, теми, кто участвовал в процессе
либерализации визового режима с ЕС.
Вместе с тем в ходе обсуждений представители Центра сослались и на проблемы, с
которыми в настоящее время сталкивается учреждение, в частности, с положениями,
относящимися к процедуре регистрации субъектов в качестве контролеров персональных
данных, а также с вопросами должного внедрения требований безопасности при обработке
персональных данных в рамках информационных систем.
Представители делегации МЦРМ поблагодарили представителей Центра за
организованную встречу и выразили уверенность в дальнейшем сотрудничестве с Центром
в сфере защиты персональных данных, как в качестве партнера, так и бенефициара.
16. 23 октября представитель Центра по инициативе Министерства обороны
Республики Молдова представил доклад в рамках курса повышения квалификации для
специалистов кадровых подразделений Национальной армии.
Обсуждения затронули необходимость защиты персональных данных, относящихся
к призывникам, военным и резервистам, были подняты вопросы гарантий безопасной при
автоматизированной обработке персональных данных, практические аспекты, связанные с
полноценным внедрением принципов защиты персональных данных.
Дискуссии в рамках совещания выявили некоторые проблемные аспекты защиты
персональных данных, в частности, восприятия права на неприкосновенность интимной,
семейной и частной жизни, регулирования процедур сбора, обработки, хранения,
соблюдения процедур конфиденциальности и безопасности персональных данных. Вместе
с тем были обозначены некоторые аспекты, связанные с раскрытием персональных данных,
а также методов их обезличивания.
17. 28 ноября в помещении Центра было организовано заседание с представителями
ГП «ЦГИР «Registru», Службы информационных технологий Министерства внутренних
дел, ГП «Центр специальных телекоммуникаций» и Центра электронного управления, с
целью разрешения/приведения в соответствие некоторых операций по обработке
персональных данных, осуществляемых государственными учреждениями, а также
третьими лицами/предприятиями, с помощью технологии Common Object Interface.
43
Таким образом, Центр в качестве регулятора в области защиты персональных
данных выявил ряд несоответствий, подтвержденных во время проверок использования
государственных информационных ресурсов посредством технологии Common Object
Interface, в частности:
предоставление/контрактирование юридическим лицам типа ООО, КО, АО и пр.,

не авторизованными в законном порядке, доступа к системам учета, управляемым
публичными учреждениями;
несоблюдения Требований по обеспечению безопасности персональных данных

при их обработке в информационных системах персональных данных, утвержденных
Постановлением Правительства №1123 от 14 декабря 2010 г.;
фиксирование недостоверной информации о получателях персональных данных из

этих систем учета.
В результате установлена необходимость пересмотра договоров/соглашений на
поставку информации ограниченного доступа по технологии Common Object Interface, до
конца 2014 года и представления отчетов о предпринятых мерах в первой половине 2015
года.
18. 5 декабря в помещении Центра состоялся семинар на тему «Защита
персональных данных» с участием представителей высших учебных заведений; в ходе
мероприятия сотрудники управления учета и контроля Центра представили информацию о
том, какие шаги следует предпринять для регистрации систем учета персональных данных,
управляемых в Регистре контролеров персональных данных.
Дискуссии были нацелены на необходимость обеспечения адекватного уровня
защиты персональных данных, как для сотрудников, так и для студентов учреждения
образования,
на
обработку
этих
данных
автоматизированными
и/или
неавтоматизированными средствами.
Отметим, что представители вышеупомянутых учреждений в полной мере осознали
важность соотнесения деятельности, связанной с обработкой персональных данных с
законными положениями в данной сфере; они запросили поддержку Центра в доработке
процедур регистрации в качестве контролеров в Регистре учета контролеров персональных
данных.
19. С 15 по 19 декабря Центр организовал 5 учебных сессий с участием
представителей 45 судебных инстанций, в рамках которых они были проинформированы
относительно шагов, которые надлежит предпринять для приведения в соответствие
деятельности по обработке персональных данных с законными положениями в данной
44
области и регистрации управляемых систем учета персональных данных в Регистре учета
контролеров персональных данных.
Дискуссии затронули необходимость обеспечения адекватного уровня защиты
персональных данных, как для сторон/участников в судебном процессе, так и для лиц,
осуществляющих свою деятельность в судебных инстанциях.
Представители вышеупомянутых учреждений, в полной мере осознавшие важность
защиты персональных данных в рамках судебных инстанций, запросили поддержку Центра
для соотнесения деятельности, связанной с обработкой персональных данных, с законными
положениями в данной сфере и запросили поддержку Центра в доработке процедур
регистрации в качестве контролеров в Регистре учета контролеров персональных данных.
Центр выражает надежду на то, что информация и опыт, накопленные
представителями судебных инстанций, которые участвовали в этих семинарах, принесут
пользу процессу осуществления правосудия и будут внедрены для обеспечения
надлежащего уровня защиты персональных данных в рамках судебных инстанций.
ГЛАВА V
МЕЖДУНАРОДНОЕ СОТРУДНИЧЕСТВО
5.1 Национальные приоритеты внешнего сотрудничества в сфере защиты
персональных данных
В контексте европейских интеграционных устремлений Республики Молдова
область защиты персональных данных приобрела особые масштаб и значимость,
выразившиеся в укреплении национальной нормативно-законодательной базы, и в
становлении предметно-ориентированного учреждения в данной области, в качестве
гаранта защиты фундаментальных прав и свобод физических лиц, особенно на частную
жизнь, в связи с обработкой их персональных данных.
Таким образом, в контексте внешних отношений и европейской интеграции
возросшее значение области защиты персональных данных нашло отражение в первую
очередь в тексте Соглашения об ассоциации между Республикой Молдова, с одной
стороны, и Европейским Союзом и Европейским сообществом по атомной энергии и их
государствами-членами, с другой стороны, подписанного в Брюсселе 27 июня 2014 года и
ратифицированного Парламентом Республики Молдова 2 июля 2014 (далее Соглашение об
ассоциации). В данном контексте международный договор призван поддержать одну из
45
приоритетных задач Центра - обеспечение надлежащего уровня защиты персональных
данных в Республике Молдова, что является обязательным положением, которое
Республика Молдова возложила на себя, ратифицировав Конвенцию о защите лиц в
отношении
автоматизированной
обработки
персональных
данных.
Эта
задача
сформулирована в ст. 13 «Защита личных данных», раздел III: правосудие, свобода и
безопасность Соглашения об ассоциации:
(1) Стороны договариваются сотрудничать по вопросам обеспечения высокого уровня
защиты личных данных в соответствии с юридическими документами и
международными стандартами ЕС и Совета Европы;
(2) Любая обработка персональных данных попадает под действие правовых
положений, указанных в приложении I к настоящему Соглашению. Передача
персональных данных между сторонами осуществляется только при условии, если
это необходимо для выполнения компетентными органами сторон настоящего
соглашения или других соглашений, заключенных между сторонами.
Таким образом, положения Соглашения об ассоциации призваны поддержать Центр
в налаживании диалога с национальными органами и в освоении передового опыта ЕС с
целью обеспечения условий, необходимых для гарантирования надлежащего уровня
защиты персональных данных, а также осуществления действий, изложенных в Плане
действий по внедрению Национальной стратегии по защите персональных данных в 20132018 гг.
Другим важнейшим документом, относящимся к защите персональных данных,
утвержденным 26 июня 2014 года на XVI совещании Совета по сотрудничеству ЕСРеспублика Молдова, является повестка дня ассоциации Республики Молдова с
Европейским Союзом, в которую включен список приоритетов в совместной деятельности,
намеченной на 2014-2016 годы, с целью подготовки внедрения Соглашения об ассоциации,
в том числе в части, касающейся углубленной и всеобъемлющей зоны свободной торговли.
Что касается защиты персональных данных, повестка дня устанавливает непрерывность
сотрудничества по внедрению законодательной базы и обеспечению надлежащего уровня
защиты персональных данных в соответствии с инструментами и стандартами ЕС, а также
укрепление институционального потенциала Центра.
Постепенное внедрение мероприятий, включенных в эти стратегические документы,
для поддержки европейского курса Республики Молдова, должно: способствовать
созданию прочной и последовательной базы, гарантирующей право человека на защиту
персональных данных; обеспечить возросшее доверие населения к онлайновым услугам,
46
которые являются существенным критерием в деле освоения потенциала цифровой
экономики; усилить трансграничные потоки персональных данных.
5.2 Упрочение сотрудничества с агентствами Европейского Союза: ЕВРОЮСТ
и ЕВРОПОЛ
Выполнение условий, предусмотренных в Плане действий Республика Молдова Европейский
Союз
в
сфере
либерализации
визового
режима,
утвержденном
Постановлением Правительства № 130 от 24 февраля 2012 года, обусловило подписание 10
июля 2014 г. Соглашения о сотрудничестве между Республикой Молдова и Евроюстом.
Подписание Соглашения о сотрудничестве с Евроюстом стало возможным только
после оценки экспертами ЕС функционирования национального законодательства в
области защиты персональных данных, деятельности по борьбе с организованной
преступностью и по международному сотрудничеству в уголовных делах. Внедрение
положений этого Соглашения значительно облегчит усилия правовых органов в борьбе с
организованной трансграничной преступностью и повысит возможности накопления
доказательств в европейском ареале.
Следует отметить, что до подписания этого документа Центру отводилась важная
роль в переговорах относительно положений Соглашения о сотрудничестве с Евроюстом.
Более того, после подписания в соответствии с положениями Соглашения Центр должен
участвовать в регулярных консультациях с офицером Евроюста по защите персональных
данных. Предметом этих консультаций должны стать предпринятые действия и
мероприятия Центра, в частности, в процессе упрочения статуса Национального органа,
ответственного за проверку соответствия обработки персональных данных европейским
стандартам и отчетности перед Общим контрольным органом Евроюста, а также
преодоление сложностей в ходе практического применения положений Соглашения.
Сотрудничество между Евроюстом и третьими государствами позволяет ускорить и
облегчить осуществление запросов об экстрадиции и взаимной правовой помощи.
Одним из приоритетов Плана действий по внедрению Соглашения об ассоциации,
утвержденного Постановлением Правительства № 808 от 7 октября 2014 г., а также
Политической матрицы в части бюджетной поддержки в контексте визового диалога на
период 2014-2016 гг., является укрепление сотрудничества между Республикой Молдова и
Полицейской службой Европейского Союза (Европол) через подписание Соглашения об
оперативном и стратегическом сотрудничестве между Республикой Молдова и
Полицейской службой Европейского Союза.
47
Представители Национального органа контроля в области обработки персональных
данных активно участвовали как в подготовке Республики Молдова к процессу оценки
экспертами ЕС уровня внедрения законодательства в области защиты данных, в контексте
сформулированного решения о начале переговоров с целью подписания Соглашения об
операционном и стратегическом сотрудничестве между Республикой Молдова и
Полицейской службой Европейского Союза, так и в процессе переговоров по Соглашению
в составе делегации Республики Молдова в Гааге, Нидерланды.
Данное Соглашение было заключено обеими сторонами 18 декабря 2014 года, а его
подписание является легальной базой для обмена персональными данными с Республикой
Молдова в контексте предупреждения и борьбы с организованной преступностью,
терроризмом и другими формами международной преступности. Настоящее Соглашение
пришло на смену Соглашению о стратегическом сотрудничестве между Республикой
Молдова и Полицейской службой Европейского Союза 2007 года и способствует
укреплению нормативно-правовой базы, в частности, в сфере обмена информацией между
Европолом и Республикой Молдова.
5.3 Участие в международных форумах
Учитывая скромные возможности бюджета Центра в 2014 г., участие сотрудников в
региональных и международных мероприятиях было ограничено, Центр зачастую был не в
состоянии обеспечить свое представительство на форумах, на которые был приглашен.
Несмотря на это, в течение 2014 года представители Центра участвовали в работе
16-й Конференции уполномоченных органов по защите персональных данных,
которая проводилась 1-3 апреля в Скопье, Республика Македония. В мероприятии приняли
участие 30 представителей 13 органов по защите персональных данных, которые получили
возможность обменяться опытом и передовой практикой по защите персональных данных,
а также обсудить такие вопросы, как: проект Регламента ЕС в области защиты
персональных данных; вызовы при сборе и хранении огромной массы данных (Big Data);
"Cloud Computing"; видеонаблюдение в частном пространстве через призму «дела Rynes» в
Чехии; передача вынесенных судебных решений посредством электронного бюллетеня, а
также право потребителей на неприкосновенность частной жизни. Более того, в конце
мероприятия Республика Молдова наряду с другими его странами-участницами подписала
Декларацию о взаимной помощи и сотрудничестве между уполномоченными органами по
защите персональных данных в странах Центральной и Восточной Европы.
В рамках совещания подкомитета №3 по сотрудничеству Республика Молдова Европейский Союз «Таможня, трансграничное сотрудничество, отмывание денег,
48
наркотики, нелегальная миграция», которое состоялось 16 апреля 2014 г. в Брюсселе, Центр
представил отчет о положении дел в области защиты персональных данных в Республике
Молдова. В ходе обсуждений представитель Национального органа контроля в области
защиты персональных данных отметил успехи в данной сфере, достигнутые как Центром,
так и национальными органами власти, в частности, теми, кто участвовал в процессе
либерализации визового режима с ЕС, а также действия, направленные на внедрение
нормативных положений с целью обеспечения адекватного уровня защиты персональных
данных, регистрирующие реальные и ощутимые результаты.
23-24 апреля в Париже, в рамках семинара, посвященного кибернетической
безопасности: „Enhancing cyber security: protecting information and communication
networks”, предназначенного для стран юго-востока Европы, западных Балкан и южного
Кавказа, представляющие Центр участники ознакомились с практикой улучшения
безопасности и мобильности информации в рамках информационно-коммуникационных
сетей в этих странах, через создание и подготовку местных условий для адекватного
предупреждения, ответа и судебного преследования в процессе противостояния
кибернетическим атакам и/или аварийным неполадкам, а также создания адекватной
законодательной базы на региональном уровне.
В связи с празднованием Всемирного дня интеллектуальной собственности, 28
апреля 2014 года делегация Центра приняла участие в мероприятии, организованном
Национальной ассоциацией по защите прав потребителей и продвижению программ и
стратегий из Румынии. В мероприятии участвовали представители структур высшего
уровня: министерств, органов регулирования и применения законодательства в области
интеллектуальной
собственности,
посольств,
торгово-промышленных
палат,
профессиональных и патронажных ассоциаций, правообладатели интеллектуальной
собственности из Румынии, а также представители Ассоциации по охране потребителей
ADICONSUM из Италии.
С 5 по 6 мая 2014 г. делегация Центра предприняла ознакомительную поездку по
приглашению Национального органа по защите данных и свободе информации Венгрии, с
целью ознакомления с новыми нормативами европейского уровня в части принципов и
правил обработки персональных данных, предусмотренных проектом Регламента ЕС в
области защиты персональных данных. В ходе визита был обсужден в деталях проект
«Ключ в мир Интернета!», реализованный Национальным органом по защите данных и
свободе информации Венгрии, цели которого состоят в повышении осознания детьми
потенциальных для них рисков в связи с пользованием Интернетом, выявлении будущих
вызовов через применение результатов теоретических и практических исследований.
49
Это исследование, предназначенное родителям и учителям, было дополнено
рекомендациями для молодых людей относительно важных для них ценностей,
необходимости соблюдения права на частную жизнь и не совершения действий, которые
могут поставить под угрозу достоинство других лиц. Особый интерес Центра заключался в
опыте Национального органа по защите данных и свободе информации Венгрии, полезном
для развития, в национальном плане, оптимальных механизмов внедрения Национальной
стратегии по защите персональных данных на 2013-2018 гг.
С 14 по 16 мая 2014 г. Центр участвовал в семинаре «Защита данных и свобода
Интернета», проведенном в Праге с участием экспертов из стран Восточного партнерства
и организованном при финансовой поддержке Европейской комиссии Министерствами
иностранных дел Швеции и Чехии.
Еще одним резонансным событием регионального значения, в котором участвовали
представители Центра, стало 3-е заседание временной рабочей группы по защите данных в
рамках Конвенции о полицейском сотрудничестве в Юго-Восточной Европе (PCC SEE),
которое состоялось 1-3 декабря в Словении. В рамках конференции был представлен итог
мероприятий в сфере защиты персональных данных, проведенных под эгидой
Президентуры Республики Болгарии в PCC SEE. В ходе данного мероприятия был затронут
ряд вопросов, которые были обсуждены в рамках сессий представителями органов по
защите данных и министерств внутренних дел стран-членов РСС SEE.
Так, дискуссии развернулись вокруг необходимости обновления полномочий
временной рабочей группы по защите персональных данных, которая станет рабочей
группой с постоянным статусом и сроком созыва не менее раза в год. Также были
тщательно проанализированы новые процедуры деятельности Рабочей группы по защите
персональных данных, которые позволят решить жалобы субъектов данных, чьи права
были нарушены органами полиции в рамках мероприятий РСС SEE.
Наконец особое внимание было уделено возможности каждого органа защиты
данных, члена РСС SEE, приступить к инспектированию центральных национальных
учреждений, исходя из накопленной практики, а не на основании стандартной общей
анкеты, чтобы оценить физическую безопасность персональных данных, безопасность
персонала, защиту документов и порядок соблюдения прав субъектов этих данных
органами полиции.
Даже если Центр не смог обеспечить свое участие во всех международных форумах,
отчеты и резолюции, относящиеся к области защиты персональных данных, были должным
образом изучены. Например, через принятие Декларации, адресованной XV саммиту
франкофонии в Дакаре, Сенегал, Центр вместе с другими франкоязычными органами
50
защиты персональных данных выразил в полной мере свою готовность способствовать
развитию культуры в сфере защиты персональных данных в франкоязычном пространстве.
Поэтому
организации-члены
франкоязычной
Ассоциации
органов
защиты
персональных данных (AFAPDP), чьим членом – наблюдателем является Центр,
предложили внести в повестку дня саммита вопрос об обязательствах, принятых на
предыдущих
саммитах
об
утверждении
национального
и
международного
законодательства в области защиты персональных данных, подчеркнув таким образом
усилия и позицию Международной организации франкофонии и Парламентской ассамблеи
франкоязычных стран, заключающуюся в необходимости оказывать повышенное внимание
этой области, особенно в политическом и экономическом плане, стимулировать в
франкоязычных странах признание роли и авторитета органов по защите персональных
данных.
В данном контексте, поддерживая инициативу AFAPDP, Центр ходатайствовал
перед Министерством иностранных дел и европейской интеграции Республики Молдова
направление организаторам саммита в Дакаре предложения AFAPDP. Декларация AFAPDP
является призывом к франкоязычным государствам и правительствам поддержать
независимые органы, национальные и международные сети по кооперации в данной
области и ратифицировать международные инструменты защиты персональных данных,
каковой является Конвенция №108 Совета Европы.
Также в этом периоде Центр стал членом международной платформы Global Privacy
Enforcement Network. Global Privacy Enforcement Network (GPEN) является кооперационной
сетью,
открытой
для
любого
правового
органа,
ответственного
за
внедрение
законодательства в области защиты персональных данных и способной проводить анкеты
или осуществлять исполнительные процедуры. Работа в рамках GPEN дает Центру
возможность принять участие в обсуждении практических аспектов сотрудничества в
процессе внедрения законодательства в области частной жизни; участвовать в обмене
передовым опытом при решении трансграничных проблем; взаимодействовать с целью
развития общих приоритетов по внедрению законодательства; получать помощь по
внедрению законодательных инициатив и проводить кампании по информированию.
В рамках сотрудничества с региональными организациями отдельной статьей
отметим достижения Центра в качестве постоянного члена Консультативного Комитета
Конвенции о защите частных лиц в отношении автоматизированной обработки данных
личного характера (T-PD) Совета Европы.
Таким образом, налицо последовательное участие Республики Молдова в
Страсбургских форумах, в том числе во 2-м пленарном заседании Специального комитета
51
по защите персональных данных (CAHDATA), проведенного с 28 по 30 апреля 2014 года, в
31-м пленарном заседании Консультативного Комитета Конвенции о защите физических
лиц в отношении автоматизированной обработки данных личного характера от 2-4 июня
2014 года и в форуме CAHDATA от 1-3 декабря 2014.
Модернизация
Конвенции
о
защите
физических
лиц
в
отношении
автоматизированной обработки данных личного характера (Конвенция №108) и
дополнительного протокола, составила основу обсуждений в рамках вышеупомянутых
заседаний, итогом чего стало принятие заключительного документа T-PD (2012) 4 Rev 4 в
качестве практического результата и предмета дальнейшего рассмотрения на форумах
CAHDATA. В рамках последнего совещания CAHDATA от 1-3 декабря, в связи с
истечением сроков полномочий, для исполнения которых был создан Комитет, проведен
ряд чтений доработанного и обновленного текста проекта Конвенции №108. Документ был
воспринят положительно, за исключением отдельных норм, по которым некоторые
Стороны высказали особые соображения.
Предложения эксперта от Республики Молдова по данному проекту относятся к
исключениям, определенным ст. 9 Конвенции №108, в частности, к отступлениям от
основных принципов защиты персональных данных, указанных в ст. 5, принимаемым в
интересах обработки персональных данных, предметом которых являются общественная
безопасность,
оборона,
государственная
безопасность
(включая
экономическое
благосостояние государства, когда эти обработки осуществляются в целях обеспечения
государственной безопасности). Эти предложения были поддержаны и в результате
пересмотрены принципы, из которых Стороны могут делать исключения, вследствие чего
была изменена и структура ст. 5 Конвенции №108 с целью соблюдения норм
законодательной техники. Новым элементом, введенным проектом и поддержанным
Республикой Молдова, является понятие «юрисдикция» Стороны по данной Конвенции,
которым юрисдикционные компетенции разграничиваются от территориальных.
5.4 Участие Центра в проектах технической помощи
12-13 февраля 2014 года представители Центра, с помощью Инструмента
технической поддержки и обмена информацией Европейской комиссии (TAIEX),
предприняли учебную поездку в Прагу, Чешская Республика, для участия в мероприятии
на тему «Защита персональных данных в контексте уголовного преследования в связи с
отмыванием денег и финансированием терроризма».
52
Ознакомительный визит дал возможность приобщиться к практике реагирования
Органа по защите персональных данных Республики Чехия на случаи нарушения
законодательства по защите персональных данных и права на частную жизнь; узнать
порядок сотрудничества с Президиумом полиции и Министерством финансов Республики
Чехия, для соблюдения права на частную жизнь в контексте действий по уголовному
преследованию в связи с отмыванием денег и финансированием терроризма.
Одновременно ознакомительный визит выявил необходимость сотрудничества и
взаимодействия между Национальным органом контроля в области защиты персональных
данных, Национальным банком Молдовы и Национальным центром по борьбе с
коррупцией с целью способствования равномерному и корректному применению
принципов защиты персональных данных и соблюдения права на частную жизнь
учреждениями, подотчетными в связи с операциями и транзакциями, регулируемыми
Законом о предупреждении и борьбе с отмыванием денег и финансированием терроризма.
В марте Центр совместно и при финансовой поддержке Инструмента технической
поддержки и обмена информацией TAIEX, под эгидой Генерального директората по
расширению Европейской комиссии организовал в Кишинэу семинар на тему: «Развитие
институциональной политики безопасности в контексте защиты персональных данных», в
рамках которого прошли обучение свыше 50 представителей различных государственных
органов.
С 13 по 16 апреля 2014 года представители Центра и Центральной избирательной
комиссии, при поддержке Программы за демократию в Молдове, внедренной Программой
Организации Объединенных Наций по развитию в Республике Молдова, предприняли
ознакомительную поездку в Тирану, Албания, с целью обмена передовым опытом в области
обработки персональных данных в процессе выборов.
Ознакомительный визит был обусловлен в том числе различным пониманием
некоторых законодательных аспектов, которые отражены в Отчете деятельности Центра в
2013 году. Поездка предоставила возможность ознакомиться с практическими примерами
защиты персональных данных органами власти Албании, ответственными за составление и
проверку списков избирателей и применения особых методов обеспечения права доступа к
спискам, лицам, участвующим в процессе выборов.
И на этот раз ознакомительный визит выявил необходимость взаимодействия между
Национальным органом контроля в области обработки персональных данных, Центральной
избирательной комиссией и органами местной публичной власти с целью способствования
равномерному и корректному применению принципов защиты персональных данных и
соблюдения права на частную жизнь учреждениями, участвующими в процессе выборов.
53
Также была получена информация, относящаяся к обязанности регистрации Центральной
избирательной комиссии и других субъектов, ответственных за обработку персональных
данных в процессе выборов, в Регистре учета контролеров персональных данных.
С 30 августа по 20 сентября 2014 года представитель Центра принял участие в
программе «Carl Friedrich Gördeler-Kolleg по добросовестному управлению в 2014/2015
гг.», организованной Фондом Роберта Боша в Берлине (Германия) и Варшаве (Польша).
Программа «Carl Friedrich Gördeler-Kolleg» обучает молодых специалистов в рамках
восточного партнерства, в том числе из: Армении, Азербайджана, Грузии, Молдовы,
России, Турции, Украины в области добросовестного управления, способствуя укреплению
учреждений в государственном и частном секторах.
В рамках программы участники прошли обучение и воспользовались помощью
экспертов в данной области по вопросам методов разработки и менеджмента проектов, что
способствовало повышению их профессиональной подготовки. Таким образом, после
завершения программы Центр дал старт внедрению проекта-концепта по продвижению и
развитию мер добросовестного управления в области защиты персональных данных.
С 21 по 24 сентября 2014 года представители Центра и Центральной избирательной
комиссии, при поддержке TAIEX предприняли ознакомительную поездку в Таллинн,
Эстонская Республика, с целью освоения передового опыта, относящегося к обработке
персональных данных в предвыборных целях. Ознакомительная поездка предоставила
широкие возможности ознакомиться с практикой в области защиты персональных данных,
используемой государственными органами Эстонии, ответственными за составление и
проверку списков избирателей. В ходе визита был изучен и систематизирован практический
опыт эстонских коллег, а полученные знания предстоит применить на национальном
уровне.
5.5 Официальные встречи, сотрудничество с другими зарубежными органами в
сфере защиты персональных данных
Как и в предыдущие годы, Центр посетили иностранные делегации в рамках
укрепления двусторонних отношений. Таким образом, наиболее важными явились
следующие мероприятия:
-
6 июня 2014 г. представители Центра встретились с г-ном Дэвидом
АВАКЯНОМ, менеджером проекта в рамках Представительства ЕС в Армении. Во время
встречи были представлены достижения Центра в 2009-2014 гг., методы и процедуры
продвижения концепций «персональные данные» и «частная жизнь» в национальном плане,
а также отражена динамика развития отношений Центра с органами права, с учреждениями
54
банковского, образовательного, медицинского, социального сектора и т.д. Была также
отмечена поддержка инициатив Центра со стороны европейских экспертов в части,
касающейся разработки и экспертизы ряда нормативно-законодательных актов по
регулированию области защиты персональных данных, чьи положения соответствуют в
настоящее время европейским принципам и стандартам. В заключение отметим, что
намерения партнеров из Армении обратиться за помощью к молдавским экспертам с целью
обмена
опытом
и
передовой
практикой
в
процессе
разработки
нормативно-
законодательной базы в данной области, получили поддержку Центра.
25 июля Национальный центр по защите персональных данных посетили
-
представители Посольства Королевства Швеция в Республике Молдова и Программы
Организации Объединенных Наций по развитию в Республике Молдова. Делегация
проявила заинтересованность деятельностью Центра, его целями и проблемами, а также
точками соприкосновения положений Соглашения об ассоциации, Национальной стратегии
развития области защиты персональных данных на 2013-2018 гг. со Стратегией
Королевства Швеция по сотрудничеству с Восточной Европой, Западными Балканами и
Турцией в сфере реформ в 2014-2020 гг.
4 августа 2014 года Центр выступил организатором официальной встречи
-
между представителями Центра и Министерства внутренних дел Грузии по обмену опытом
и передовыми методами работы на втором этапе процесса либерализации визового режима
с ЕС. Во время дискуссий были представлены достижения Национального органа контроля
по защите персональных данных в контексте либерализации визового режима с ЕС,
подготовки страны к миссии Европола по оценке уровня безопасности персональных
данных
к
процедурам
продвижения
концепции
«персональных
данных»
и
«неприкосновенность частной жизни» на национальном уровне, а также динамика развития
отношений Центра с правоохранительными органами, такими как: Министерство
внутренних дел, Генеральный инспекторат полиции, Департамент пограничной полиции,
Генеральная прокуратура, Служба информации и безопасности и т.д. Отдельно
обсуждались наиважнейшие вопросы: создание Департамента по защите данных в рамках
Министерства внутренних дел, заключение Меморандума о сотрудничестве между
Министерством внутренних дел и Органом по защите данных; особо проанализированы
параметры сотрудничества двух национальных органов власти.
Вместе с тем в контексте первого раунда молдавско-грузинских консультаций в
сфере европейской интеграции 16 сентября 2014 года Центр принял вторую грузинскую
делегацию для обмена опытом и передовыми методами работы в процессе либерализации
55
визового режима с ЕС и для внедрения Соглашения об ассоциации и положений Зоны
глубокой и всеобъемлющей свободной торговли.
ГЛАВА VI
СОГЛАШЕНИЯ О СОТРУДНИЧЕСТВЕ ЦЕНТРА С ДРУГИМИ
НАЦИОНАЛЬНЫМИ И МЕЖДУНАРОДНЫМИ ОРГАНАМИ
Приоритетными задачами Центра являютсят развитие отношений сотрудничества с
контролерами персональных данных и уполномоченными ими лицами на основании
заключаемых соглашений о сотрудничестве, инициация совместных проектов в области
защиты персональных данных, обучение, консультации, согласование некоторых проектов
нормативных актов и пр.
Таким образом, на сегодняшний день Центр установил партнерские отношения с
рядом государственных и частных учреждений, чья деятельность предполагает обработку
персональных данных, составляющих часть системы учета или предназначенных для
введения в такую систему.
В течение отчетного периода Центр установил отношения сотрудничества путем
заключения ряда соглашений о партнерстве.
1. 29 января 2014 г. был отмечено подписанием Соглашения о партнерстве между
Центром и Патронажной ассоциацией компаний по взысканию долгов Республики Молдова
с целью кооперации и взаимодействия по вопросам, представляющим взаимный интерес.
Главными областями сотрудничества в рамках Соглашения являются продвижение
совместными усилиями понятий "частная жизнь" и «защита персональных данных», в том
числе
факторов:
значимости,
преимущества
и
выгоды
от
защиты
лиц
при
автоматизированной обработке персональных данных. Это сотрудничество позволяет
повышать степень восприятия членами ассоциации принципов защиты персональных
данных и осознавать необходимость их реализации, соблюдать профессиональный кодекс
этики при обработке персональных данных, в том числе в рамках мероприятий по взиманию
дебиторских
задолженностей.
Соглашение
предусматривает
участие
сторон
в
мероприятиях по обучению и в различных инициативах, направленных на улучшение
деловой среды, в том числе в конференциях, заседаниях круглого стола, семинарах и т.д.
2. 28 апреля 2014 года Центр и Национальная ассоциация по защите прав
потребителей и продвижению программ и стратегий из Румынии – «InfoCons» - подписали
протокол о сотрудничестве, в рамках которого обязались принять деятельное участие в
56
совместных программах и мероприятиях с положительными социальными эффектами, в
том числе в результате выполнения долгосрочных задач в рамках проекта «Me is Mine» и
продвижения концептов «частная жизнь» и «персональные данные».
Протокол разработан как важный документ, призванный обеспечить надежную
платформу для сотрудничества, на основании следующих основных мероприятий:
-
взаимное
продвижение
имиджа
и
действий
партнеров
в
рамках
предпринимаемых мероприятий и кампаний;
-
совместная работа по повышению осведомленности о преимуществах защиты
персональных данных и негативных последствиях, которые могут возникнуть в результате
пренебрежения конфиденциальностью и безопасностью обработки таких данных в
экономической, социальной и культурной жизнедеятельности общества;
-
проведение совместных программ, которые станут предметом отдельных
соглашений в тех областях, которые они затрагивают, предоставление взаимной помощи
при разработке и реализации инициированных подобным образом программ;
-
организация семинаров, выставок, конференций по внедрению программ, а
также по их продвижению на уровне всего общества.
3. В отчетном периоде в целях реализации политики и стратегических документов,
касающихся защиты персональных данных, предотвращения и противодействия коррупции
методом проверки доходов и имущества, конфликта интересов государственных служащих,
было подписано Соглашение о сотрудничестве между Центром и Национальной комиссией
по целостности.
Некоторые формы взаимодействия регулируются Соглашением о сотрудничестве,
которое предусматривает:

создание рабочих консультативных групп по формированию необходимой
нормативной базы для осуществления политики и стратегий в области защиты
персональных данных и в сфере компетенций Национальной антикоррупционной
комиссии,
наряду
с
другими
представителями
гражданского
общества,
предпринимательского сектора, научных кругов, местных и центральных органов власти;

предоставление консультаций, в том числе через участие в курсах по
обучению/совершенствованию в области защиты персональных данных;

обучение персонала и сотрудников сторон в духе надлежащего поведения и
правомерных поступков в процессе исполнения функциональных обязанностей, что
исключает совершение коррупционных действий, обеспечивает защиту персональных
данных, обрабатываемых в процессе проверки и контроля деклараций о доходах и
собственности, а также при разрешении случаев конфликта интересов;
57
организация встреч, конференций, курсов и регулярных совместных

семинаров, в рамках которых будут обсуждаться вопросы, связанные с защитой
персональных данных, предотвращением и борьбой с проявлениями коррупции;
обмен документами, статистическими данными, результатами научных

исследований, брошюрами и специализированными изданиями, аналитическими и
концептуальными
материалами,
методическими
рекомендациями,
нормативами
и
соответствующей документацией.
Это сотрудничество отражает усилия государства по обеспечению надлежащей
защиты персональных данных и результаты претворения в жизнь стратегической политики
по борьбе с коррупцией путем применения механизмов проверки и контроля деклараций о
доходах и имуществе и декларирования личных интересов определенными категориями
государственных служащих.
4. 23 июня 2014 года Центр подписал соглашение о сотрудничестве с Главной
государственной налоговой инспекцией. Один из пунктов документа предусматривает
повышение степени восприятия сотрудниками налоговой службы принципов защиты
персональных данных и осознания необходимости их внедрения, совершенствования и
гармонизация национального законодательства, регулирующего различные сферы
деятельности для обеспечения адекватного уровня защиты персональных данных.
Для этого Главная государственная налоговая инспекция и Центр:

результатами
проведут
научных
обмен
опытом,
исследований,
документами,
брошюрами,
статистическими
аналитическими
данными,
материалами,
нормативными актами и документами, соответствующими сферам деятельности;

примут участие в консультировании и экспертизе проектов нормативно-
правовых актов, разработанных для регулирования сфер деятельности, а также обеспечат
качественное выполнение программных политических документов, относящихся к области
защиты персональных данных;

приложат усилия для постепенного и поэтапного внедрения различных
программ подготовки персонала государственной налоговой службы по защите
персональных данных;

проведут рабочие встречи в целях решения оперативных вопросов,
представляющих взаимный интерес;

наладят сотрудничество для совместной организации соответствующих
публичных мероприятий: конференций, совещаний и семинаров в области защиты
персональных данных.
58
Отметим,
что
партнерство,
заключенное
между
Центром
и
Главной
государственной налоговой инспекцией, является частью усилий по обеспечению защиты
фундаментальных прав и свобод физического лица в части обработки персональных
данных, в том числе права на неприкосновенность интимной, семейной и частной жизни.
5. Согласно Отчету Центра на 2013 год одна из целей, которую надлежало
достигнуть в 2014 году, состояла в развитии устойчивого партнерства с Центром
электронного управления (электронное правительство) для достижения общих целей,
включенных в Программу об интероперабельной основе, утвержденную Постановлением
Правительства № 656 от 5 сентября 2012 года, в Плане действий на 2014 год, для внедрения
Стратегической программы технологической модернизации управления, утвержденной
Постановлением Правительства № 1096 от 31 декабря 2013 года.
Соответственно 18 сентября 2014 г. Центр и Центр электронного управления
подписали Соглашение о сотрудничестве на экспериментальном этапе Платформы
интероперабельности с целью координации и согласования мероприятий электронного
правительства на национальном уровне согласно техническому решению, предлагаемому
Платформой интероперабельности по содействию обмену данными между учреждениями,
в том числе за счет повышения качества электронных государственных услуг.
Таким образом, Постановлением Правительства определена Программа об
интероперабельной основе, а Соглашение о сотрудничестве на подготовительном этапе
диктует необходимость налаживания межведомственных контактов, взаимодействия
между Правительством, деловым сообществом и гражданами с целью формирования
Платформы интероперабельности как технического решения, способствующего обмену
данными между органами публичной администрации, а также публичными и
государственными
учреждениями,
держателями
информационных
ресурсов.
Предусмотрены также выявление и разрешение на раннем этапе текущих проблем в связи
с
подсоединением
информационных
систем
публичных
органов
к
Платформе
интероперабельности.
Подписание этих соглашений является частью списка действий, которые сторонам
необходимо предпринять для выполнения Плана действий по внедрению Национальной
стратегии в области защиты персональных данных на 2013-2018 гг., утвержденной Законом
№229 от 10 октября 2013 года.
ГЛАВА VII
УКРЕПЛЕНИЕ УПРАВЛЕНЧЕСКИХ ВОЗМОЖНОСТЕЙ ЦЕНТРА
59
7.1. Человеческие ресурсы
В течение 2014 года Центр организовал и провел 4 конкурса на замещение 6
вакантных должностей, заявки на участие в которых подали 66 кандидатов, при этом были
приняты на работу только 5 человек, таким образом, штат сотрудников был укомплектован
на 90 %. Вместе с тем в отчетном периоде 4 сотрудника уволились, а в отношении 2 других
служащих трудовые отношения были приостановлены по различным причинам в
соответствии с положениями ст. 52 и 54 Закона о государственной должности и статусе
государственного служащего № 158-XVI от 4 июля 2008 г.
В то же время сотрудники Центра прошли обучение в рамках 6 курсов по
программам внутреннего обучения, 18 курсов внешнего обучения, организованных
различными учреждениями, в том числе: Государственной канцелярией, Академией
публичного управления, Программой ООН по развитию в Республике Молдова (ПРООН),
Министерством финансов, ГП «Центр специальных телекоммуникаций», Центром
электронного управления и пр. Также в этот период времени были предприняты три
ознакомительные поездки с целью обмена передовым опытом с контролирующими
органами из стран-членов ЕС.
Следует отметить, что за креативную деятельность, вклад в оптимизацию и
повышение эффективности государственной службы, а также в связи с Днем
государственного служащего начальник управления учета и контроля Центра награжден
Дипломом Правительства I степени, а за особый вклад в реализацию общих целей
Республики Молдова и Европейского Союза двое сотрудников управления внешних связей
и европейской интеграции награждены дипломами Правительства III степени.
В то же время за эффективное осуществление полномочий, проявленные
инициативу и последовательность пятеро сотрудников Центра поощрены почетными
дипломами и благодарностями посредством приказов руководства органа.
Особого внимания заслуживает награждение медалью «Meritul Civic» бывшего
заместителя директора Центра в знак высокой оценки вклада в продвижение реформ,
основанных на европейских ценностях и стандартах, признания особых заслуг в деле
обеспечения переговоров, подписания и ратификации Соглашения об ассоциации Молдова
- Европейский Союз, за вклад в либерализацию визового режима с государствами-членами
ЕС и Шенгенской зоны и ударный труд с целью повышения престижа страны на
международном уровне.
7.2. Аспекты экономической деятельности
60
Бюджет Национального центра по защите персональных данных Республики
Молдова на 2014 год был утвержден Постановлением Парламента № 297 от 12 декабря 2013
года по итогам рассмотрения и положительного заключения со стороны профильной
парламентской комиссии, а также Министерства финансов и впоследствии включен в Закон
о государственном бюджете на 2014 г. №339 от 23 декабря 2013 г.
С 2014 года бюджет Центра разрабатывается и обосновывается в соответствии с
основной программной задачей - защита персональных данных с определением целей, задач
и показателей оценки результативности по каждому этапу бюджетного процесса. Вместе с
тем отметим, что бюджет Центра соотнесен с макроэкономическими показателями, со
среднесрочной структурой расходов, установленной налогово-бюджетной политикой и
обеспечивает относительную функциональность Центра для исполнения полномочий и
обязанностей, предусмотренных Законом №133 от 8 июля 2011 года о защите персональных
данных.
Таким образом, общая сумма ассигнований, включенных в бюджет Центра на 2014
год, составила 2997,4 тыс. леев, из которых расходы на персонал - 1956,1 тыс. леев, текущие
расходы - 964,8 тыс. леев и капитальные расходы - 76,5 тыс. леев, что на 63,4% больше
соответствующего показателя 2009 года. Положительная тенденция бюджета Центра с
момента создания этого органа и до настоящего времени обусловлена в большей степени
кадровыми расходами (примерно в два раза больше по сравнению с 2009 годом) из-за
изменений, внесенных в законодательные и нормативные акты и касающихся выплат
зарплат
государственным
служащим
и
лицам,
исполняющим
ответственные
государственные должности.
Динамика бюджета Центр в 2009 – 2014 гг. (тыс. леев)
61
3000.00
2010 год
1709.30
1635.30
1000.00
1833,60
1500.00
2997.40
2000.00
2975.30
2009 год
2127.00
2500.00
2011 год
2012 год
500.00
2013 год
0.00
2014 год
Необходимо отметить, что в общей структуре расходов на 2014 год расходы на
персонал, включая медицинские и страховые выплаты, осуществленные работодателем,
являются преобладающими, достигнув в 2014 году 65,3% от общей суммы бюджета.
Финансовые средства на приобретение товаров и услуг составили 28,9% от общего
объема выделенных средств, включая капитальные расходы, и достаточны лишь для
содержания Центра, покрывая расходы на аренду помещений, техническое обслуживание
оборудования и информационных программ, транспортных средств, необходимых для
проведения проверок, для обеспечения безопасности офиса учреждения.
Затраты на обеспечение участия представителей Центра в международных рабочих
группах, форумах и международных конференциях составляют 5,8% от общего объема
запланированных ресурсов.
Кассовое исполнение бюджета Центра на 2014 год составило 93,2% от финансовых
средств, запланированных в начале года.
В этих условиях Центр не выполняет договорных обязательств по публичным
закупкам на сумму в примерно 200,0 тысяч леев, что составляет 6,8% от годового бюджета
органа. Это обусловлено тем, что территориальное казначейство Кишинэу не погашает
представленных в срок платежных поручений в соответствии с положениями
законодательства,
несмотря
на
наличие
остатка
финансовых
средств
в
плане
финансирования Центра в 2014 г. и утверждение казначейством регистрации договоров
государственных закупок без упоминания каких-либо препятствий финансового или
юридического порядка для заключения и исполнения данных договоров.
62
В соответствии с нормативно-правовой базой, а именно, Законом № 229 от 23
сентября 2010 года «О государственном внутреннем финансовом контроле», с
последующими изменениями и дополнениями, Приказом министра финансов № 51 от 23
июня 2009 года «О национальных стандартах внутреннего контроля в публичном секторе"
и Приказом министра финансов № 49 от 26 апреля 2012 г. об утверждении Регламента
оценки, отчетности системы финансового менеджмента и контроля и выдачи декларации о
надлежащем управлении, руководство юридического лица несет ответственность за
внедрение внутреннего контроля, в том числе системы финансового управления и
контроля, а также за оценку ее функциональности и степени соответствия положениям
нормативно-правовой базы.
В декларации по добросовестному управлению за 2013 год, составленной на
основании самооценок, Центр указал, что «система финансового менеджмента и контроля
Национального центра по защите персональных данных частично соответствует
национальным стандартам внутреннего контроля в публичном секторе, в связи с чем в 2014
году организационный потенциал в этом отношении будет упрочен».
Таким образом, в течение 2014 года были заложены основы внедрения системы
финансового управления и контроля, разработана процедура оценки менеджмента рисками
в рамках организации, а также разработан образец регистра рисков.
ГЛАВА VIII
ОЦЕНОЧНЫЙ ОТЧЕТ ПО МОНИТОРИНГУ ВНЕДРЕНИЯ НАЦИОНАЛЬНОЙ
СТРАТЕГИИ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
НА 2013-2018 ГГ.
Законом № 229 от 10 октября 2013 г. (Официальный монитор Республики Молдова
№ 284-289/776 от 6 декабря 2013 г.) были утверждены Национальная стратегия в области
защиты персональных данных на 2013-2018 гг. и План действий по внедрению стратегии.
Ниже представлена информация о выполнении действий, включенных в План
реализации стратегии, в соответствии с разделами годового отчета.
ОБЩАЯ ЗАДАЧА
Обеспечение надлежащего уровня защиты персональных данных в Республике Молдова
Идентификатор
планового
действия
Плановое действие
Номер
страницы
годового
63
отчета Центра
с нужной
информацией
Специфическая задача 1. Информирование всех контролеров об их функциональных обязанностях и о
необходимости защиты обрабатываемых персональных данных с учетом новейших технологий в
отношении рисков, связанных с обработкой, и категории защищаемых данных
1.1
Выполнение исследований в различных отраслях для предоставления
страница
контролерам необходимых инструкций по приведению процесса
обработки персональных данных в соответствие с Законом о защите
персональных данных
1.2
Разработка и внедрение инструкций по обработке персональных данных в страница
различных секторах деятельности: полиции, медицине, образовании,
избирательной системе, связи, финансово-банковской деятельности и т.д.
1.3
Развитие отношений сотрудничества Центра с контролерами и
страница
обработчиками посредством заключения соглашений о сотрудничестве,
инициирования совместных проектов в области защиты персональных
данных, обучения, консультирования, согласования проектов
нормативных актов и т.д.
1.4
Привлечение профессиональных организаций судей, судебных
страница
исполнителей, адвокатов, нотариусов, банков, средств массовой
информации, профсоюзов, информационных технологий и др. в целях
обеспечения регистрации контролеров в Регистре учета контролеров
персональных данных и разработки кодексов профессионального
поведения, которые будут содержать положения о защите персональных
данных, или дополнение существующих кодексов такими нормами
1.5
Освещение случаев широкого резонанса и допущенных субъектами
страница
публичного и частного права нарушений в процессе обработки
персональных данных
1.6
Предоставление помощи публичным и частным учреждениям, которые
страница
создаются в качестве контролеров персональных данных, по обеспечению
соблюдения организационных и технических процедур по защите
персональных данных
1.8
Пересмотр категорий и объема персональных данных, обрабатываемых
страница
контролерами
1.9
Оказание методологической помощи ответственным за защиту
страница
персональных данных структурам/лицам в составе учрежденний–
контролеров персональных данных
1.11
Применение принципов защиты персональных данных с момента
страница
разработки информационных систем и систем учета, предназначенных для
автоматизированной обработки персональных данных (privacy by design)
1.12
Разъяснение, продвижение и мониторинг соблюдения обязанности учета и страница
регистрации
контролеров,
баз
данных,
информационных
и
информатических систем для хранения и обработки вручную или
автоматизированно персональных данных и соблюдения принципа
прозрачности деятельности по обработке данных
Специфическая задача 2. Осведомление широкой общественности о важности защиты прав в
отношении обработки персональных данных
2.1
Активное привлечение представителей гражданского общества, органов страница
просвещения и средств массовой информации к разъяснению
общественности понятий «частная жизнь» и «защита персональных
данных», преимуществ защиты персональных данных, негативных
последствий в случае несоблюдения режима конфиденциальности и
безопасности при обработке таких данных, а также важности защиты
персональных данных в экономическом, социальном и культурном
развитии страны
2.7
Ежегодное празднование в учебных заведениях 28 января Дня защиты страница
персональных данных
2.12
Организация конференций по тематике необходимости обеспечения
страница
принципов защиты персональных данных
64
2.13
Организация и проведение на национальном уровне мероприятий по
случаю празднования Дня защиты персональных данных
страница
Специфическая задача 3. Укрепление административного и институционального потенциалов
Национального центра по защите персональных данных
3.2
Анализ поступающих в адрес Центра жалоб и заявлений с целью
страница
выявления проблем и определения действий, которые необходимо
предпринять для улучшения ситуации в части защиты лиц при
обработке персональных данных, а также защиты права на интимную,
семейную и частную жизнь
3.3
Анализ проблем, возникающих в процессе регистрации контролеров,
страница
баз данных, информационных и информатических систем для хранения
и обработки персональных данных в Регистре учета контролеров
персональных данных для выявления возможных недостатков и
совершенствования процедур регистрации
3.6
Пересмотр, согласование отраслевой нормативной базы и приведение страница
ее в соответствие с принципами защиты персональных данных
3.7
Пересмотр национального законодательства об электронных
страница
коммуникациях в целях внедрения для телекоммуникационного сектора
специфичных норм европейского законодательства, относящихся к
обработке персональных данных и защите конфиденциальности в сфере
электронных коммуникаций
3.8
Непрерывное обучение, обмен опытом с аналогичными европейскими
страница
учреждениями, участие в семинарах, тренингах, проведение
ознакомительных поездок,
организация практикумов, международных конференций
3.9
Обеспечение участия национальных органов контроля в области защиты страница
персональных данных в работе международных форумов в целях
продвижения имиджа Центра и страны и активного участия в
разработке нормативной базы, регулирующей область защиты
персональных данных
3.10
Обновление дизайна официальной веб-страницы Центра для
страница
обеспечения интерактивной платформы по информированию общества
о деятельности Центра
3.11
3.12
3.13
3.14
Обеспечение информирования общественности о проблемах,
выявленных в результате проверок соблюдения законодательства о
защите персональных данных
Комплектование штатного персонала Центра и пересмотр численности
его персонала в зависимости от объема осуществляемой деятельности
страница
Участие в переговорах по подписанию Соглашения о сотрудничестве
Республики Молдова с Евроюстом
Оказание поддержки Министерству внутренних дел в инициировании
переговоров по оперативному Соглашению о сотрудничестве с
Европолом
страница
страница
страница
ГЛАВА IX
КОНСТАТИРОВАННЫЕ ПРОБЛЕМЫ ДЕЯТЕЛЬНОСТИ
И ЗАДАЧИ НА 2015 Г.
9.1. Проблемы, сопутствующие деятельности Центра
Центр продолжает сталкиваться со следующими проблемами:
a) огромный
объем работы,
соотнесенной с необходимостью
реализации
65
функциональных полномочий на национальном уровне; недостаточный уровень
оплаты
труда
работников,
в
частности
сотрудников
подразделения,
осуществляющих учет и проверку контролеров персональных данных;
b) отсутствие соответствующих гарантий для сотрудников Центра, соразмерных с
рисками в связи с проверочной деятельностью;
c) текучесть кадров - 4 работника подали в отставку в течение 2014 года;
d) нехватка специалистов в области защиты персональных данных, что крайне
осложняет процесс отбора служащих, в то время как для приобщения
новоиспеченного сотрудника к специфике защиты персональных данных
необходимо не менее 6 месяцев;
e) низкий уровень информирования общественности, а также физических и
юридических лиц, чья деятельность пересекается с деятельностью по обработке
персональных данных.
Самой большой проблемой тем не менее остается недостаточная численность
персонала Центра. Из содержания доклада становится очевидным, что на протяжении 2014
года сотрудники Центра были задействованы в очень большом количестве мероприятий. В
частности нехватка персонала ощущается в управлении учета и контроля, которое является
главным инструментом Центра в осуществлении проверки законности операций по
обработке персональных данных, а также в управлении по вопросам права и связям с
общественностью, вовлеченном в процесс пересмотра отраслевой нормативной базы и
представляющем интересы Центра в судебных процессах.
Эта нехватка ощущается, в частности, в связи с ключевой ролью Центра при
реализации всех действий, включенных в План внедрения Национальной стратегии в
области защиты персональных данных на 2013 -2018 годы, утвержденной Парламентом
Республики Молдова Законом №229 10 октября 2013 года.
Соответственно Центр и в дальнейшем нуждается в сильной поддержке, чтобы
сохранить за собой качество проактивного органа контроля соответствия обработки
персональных данных положениям закона, но и обеспечения условий, необходимых для
того, чтобы уровень защиты персональных данных в Республике Молдова оставался
адекватным.
Другая проблема состоит в том, что законная обязанность об уведомлении
относительно систем учета, созданных с целью обработки персональных данных, не в
полной мере осознается организациями, которые учреждают эти системы.
Центр констатирует, что эта законная обязанность намеренно игнорируется
некоторыми органами, среди которых Министерство финансов, Национальный союз
66
судебных исполнителей, местные органы публичного управления и пр., с целью реализации
мероприятий по незаконной обработке персональных данных, относящихся к большому
числу лиц.
В том числе следует отметить качество акта правосудия с учетом статистики
рассмотрения административных правонарушений, отмеченных в Докладе.
9.2. Задачи на 2015 год
Несмотря на очевидный и ощутимый прогресс, достигнутый Центром в 2014 году,
необходимо большее количество действий по внедрению нормативных положений с целью
обеспечения надлежащего уровня защиты персональных данных в Республике Молдова.
В частности, руководствуясь, но не ограничиваясь этими задачами, в 2015 году Центр
должен сосредоточиться на:
-
выполнении целей Национальной стратегии в области защиты персональных
данных на 2013-2018 годы и Плана действий по ее внедрению;
-
выполнении Плана действий Республика Молдова - Европейский Союз;
-
продвижении проекта постановления Парламента по изменению штатного
расписания Центра для увеличения количества сотрудников;
-
вкладе в создание единой судебной практики по применению положений
законодательства в части защиты персональных данных;
-
информировании партнеров по развитию совместных проектов, а также на
выполнении целей Национальной стратегии в области защиты персональных
данных на 2013-2018 годы и Плана действий по ее внедрению;
-
продвижении проектов внесения изменений и дополнений в ряд законодательных и
нормативных актов, относящихся к деятельности, разработанных Центром, и т.д.
67