(1) Furnizorii de servicii de comunicații electronice accesibile publicului sînt obligați să ia măsuri tehnice și organizatorice corespunzătoare în vederea protejării securității serviciilor lor. Dacă este necesar, furnizorii de servicii de comunicații electronice accesibile publicului vor lua aceste măsuri împreună cu furnizorii de rețele publice de comunicații electronice în privința securității rețelei. Aceste măsuri trebuie să asigure un nivel de securitate adecvat și proporțional riscurilor existente, avînd în vedere posibilitățile tehnice moderne și costurile implementării acestor măsuri.
(2) Măsurile adoptate în corespundere cu alin. (1) trebuie să respecte cel puțin următoarele condiții:
a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate și în scopurile prevăzute de lege;
b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale și împotriva stocării, prelucrării, accesării ori divulgării ilicite;
c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor cu privire la prelucrarea datelor cu caracter personal.
(3) Centrul Național pentru Protecția Datelor cu Caracter Personal (în continuare în acest capitol - organ de control) poate verifica măsurile luate de furnizori în conformitate cu alin. (1) și poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins prin aceste măsuri.
(4) În cazul existenței riscului de încălcare a securității rețelei, furnizorii de servicii de comunicații electronice sînt obligați să informeze abonații despre acest risc. În cazul în care acest risc depășește domeniul de aplicare a măsurilor pe care le pot lua furnizorii, aceștia au obligația de a informa abonații despre soluțiile posibile, inclusiv despre costurile implicate.
(5) În cazul unei încălcări a securității datelor cu caracter personal, furnizorul de servicii de comunicații electronice accesibile publicului notifică organul de control, fără întîrzieri nejustificate, despre respectiva încălcare.
(6) Atunci cînd încălcarea securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieții private a unui abonat ori a unui utilizator, furnizorul notifică abonatul sau utilizatorul, fără întîrzieri nejustificate, despre respectiva încălcare.
(7) Notificarea prevăzută la alin. (6) nu este necesară dacă furnizorul a demonstrat organului de control că a aplicat măsuri tehnice de protecție adecvate și că respectivele măsuri au fost aplicate datelor afectate de încălcarea securității. Astfel de măsuri de protecție trebuie să asigure faptul că datele devin neinteligibile pentru persoanele care nu sînt autorizate să le acceseze.
(8) Fără a aduce atingere obligației furnizorului de a notifica abonații și utilizatorii, în cazul în care furnizorul nu a notificat încă abonatul sau utilizatorul despre încălcarea securității datelor cu caracter personal, organul de control poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.
(9) Notificarea prevăzută la alin. (6) va cuprinde cel puțin o descriere a naturii încălcării securității datelor cu caracter personal și punctele de contact ale furnizorului unde pot fi obținute mai multe informații și va recomanda măsuri de atenuare a posibilelor efecte negative ale acestei încălcări. Notificarea prevăzută la alin. (5) va cuprinde, suplimentar, o descriere a consecințelor încălcării securității datelor cu caracter personal, precum și a măsurilor propuse sau adoptate de furnizor în vederea înlăturării acestor consecințe.
(10) Organul de control stabilește circumstanțele în care furnizorii sînt obligați să notifice despre încălcări ale securității datelor cu caracter personal, formatul unei astfel de notificări și modalitățile în care se va face notificarea.
(11) Furnizorii sînt obligați să țină evidența tuturor încălcărilor securității datelor cu caracter personal, care trebuie să cuprindă o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse, astfel încît organul de control să poată verifica dacă au fost respectate obligațiile puse în sarcina furnizorilor potrivit alin. (5)–(9). Evidența va include numai informațiile necesare în acest scop.
Art 71 Legea Сomunicaţiilor electronice* în Republica Moldova cu schimbări 2024 anul №241 din 15.11.2007
Structura actului