(1) În funcție de natura, domeniul de aplicare, contextul și scopurile prelucrării datelor, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc sporit pentru drepturile și libertățile persoanelor, operatorul efectuează, înaintea prelucrării, evaluarea impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri sporite similare.
(2) La realizarea evaluării impactului asupra protecției datelor, operatorul solicită avizul persoanei responsabile cu protecția datelor, dacă aceasta a fost desemnată.
(3) Evaluarea impactului asupra protecției datelor indicată la alin. (1) se impune mai ales în cazul:
a) evaluării sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv pe crearea de profiluri, și care stă la baza unor decizii automatizate care produc efecte juridice privind persoana fizică sau care o afectează, în mod similar, într-o măsură semnificativă;
b) prelucrării, pe scară largă, a unor categorii de date care se referă la dezvăluirea originii rasiale sau etnice, a opiniilor politice, a confesiunii religioase sau convingerilor filozofice ori a apartenenței la sindicate, precum și prelucrării de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea ori de date privind viața sexuală sau orientarea sexuală, privind condamnările penale și infracțiunile unei persoane fizice;
c) monitorizării sistematice, pe scară largă, a unei zone accesibile publicului.
(4) Evaluarea conține cel puțin:
a) descrierea sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării datelor, inclusiv, după caz, a interesului legitim urmărit de operator;
b) evaluarea necesității și proporționalității operațiunilor de prelucrare în legătură cu scopurile respective;
c) evaluarea riscurilor pentru drepturile și libertățile subiecților de date menționate la alin. (1), în special originea (sursa), natura, gradul specific de probabilitate a materializării riscului sporit și gravitatea acestui risc. Rezultatul evaluării se ia în considerare la stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că prelucrarea datelor cu caracter personal respectă prezenta lege;
d) măsurile de prevenire a riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu prevederile prezentei legi, luând în considerare drepturile și interesele legitime ale subiecților de date și ale altor persoane interesate.
(5) Operatorul solicită, după caz, avizul în formă scrisă, în formă electronică sau prin utilizarea mijloacelor electronice de comunicație al subiecților de date ori al reprezentanților acestora privind prelucrarea preconizată, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare.
(6) În cazul în care prelucrarea în temeiul art. 5 alin. (5) lit. b) sau d) are un temei juridic prevăzut de actele normative în vigoare, iar dreptul respectiv reglementează operațiunea de prelucrare specifică sau setul de operațiuni specifice în cauză și deja s-a efectuat o evaluare a impactului asupra protecției datelor ca parte a unei evaluări a impactului general în contextul adoptării respectivului temei juridic, prevederile alin. (1)–(3) din prezentul articol nu se aplică, dacă actele normative nu prevăd altfel.
(7) Dacă este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea datelor are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.
(8) Centrul întocmește și publică o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor, în conformitate cu alin. (1).
(9) Centrul poate, de asemenea, să stabilească și să pună la dispoziția publicului o listă a tipurilor de operațiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecției datelor.
Art 23 Legea Privind protecţia datelor cu caracter personal în Republica Moldova cu schimbări 2024 anul №133 din 08.07.2011
Structura actului