(1) Поставщики общедоступных услуг электронных коммуникаций должны принимать необходимые технические и организационные меры для обеспечения безопасности предоставляемых услуг. При необходимости поставщики общедоступных услуг электронных коммуникаций принимают совместно с поставщиками сетей электронных коммуникаций общего пользования такие меры, если это касается безопасности сети. Данные меры должны обеспечить уровень безопасности, адекватный и пропорциональный существующим рискам, с учетом современных технических возможностей и стоимости реализации этих мер.
(2) Меры, принятые согласно части (1), должны соответствовать по меньшей мере следующим условиям:
a) гарантировать, что доступ к персональным данным может предоставляться только уполномоченным лицам и лишь в предусмотренных законом целях;
b) защищать персональные данные, сохраненные или переданные, от случайного или незаконного уничтожения, случайной потери или изменения, незаконного хранения, обработки, доступа или разглашения;
c) гарантировать ввод в действие разработанной поставщиком политики безопасности в отношении обработки персональных данных.
(3) Национальный центр по защите персональных данных (далее в настоящей главе – контролирующий орган) может проверять меры, принятые поставщиками в соответствии с положениями части (1), и может издавать рекомендации о лучших практиках в отношении уровня безопасности, который должен быть достигнут в результате этих мер.
(4) При наличии риска нарушения безопасности сети поставщики услуг электронных коммуникаций обязаны информировать абонентов о таком риске. В случаях, когда этот риск выходит за пределы применения мер, которые могут принять поставщики, они обязаны информировать абонентов о любых возможных средствах защиты, в том числе о связанных с ними затратах.
(5) В случае нарушения безопасности персональных данных поставщик общедоступных услуг электронных коммуникаций должен без необоснованного промедления уведомить контролирующий орган о таком нарушении.
(6) В случае, когда нарушение безопасности персональных данных может неблагоприятным образом затронуть персональные данные или информацию о частной жизни абонента или пользователя, поставщик должен без необоснованного промедления уведомить абонента или пользователя о таком нарушении.
(7) Уведомление, предусмотренное частью (6), не требуется, если поставщик продемонстрировал контролирующему органу, что им были приняты адекватные технические защитные меры и что эти меры были применены в отношении данных, затронутых в результате нарушения безопасности. Такие защитные меры должны обеспечить, чтобы данные были непонятными любому лицу, не имеющему к ним санкционированного доступа.
(8) Без ущерба действию обязательства поставщика по уведомлению абонентов и пользователей, в случаях, когда поставщик еще не уведомил абонента или пользователя о нарушении безопасности персональных данных, контролирующий орган, оценив вероятные отрицательные последствия этого нарушения, может потребовать от поставщика осуществить такое уведомление.
(9) Уведомление, предусмотренное частью (6), должно содержать как минимум описание характера нарушения безопасности персональных данных и контактные пункты поставщика, где можно получить дополнительную информацию, и рекомендовать меры, направленные на смягчение возможных неблагоприятных последствий от нарушения безопасности персональных данных. Уведомление, предусмотренное частью (5), должно содержать также описание последствий нарушения безопасности персональных данных, включая меры, предложенные или принятые поставщиком в целях устранения последствий.
(10) Контролирующий орган устанавливает обстоятельства, при которых поставщики обязаны уведомить о нарушениях безопасности персональных данных, формат такого уведомления и порядок его осуществления.
(11) Поставщики обязаны вести учет всех нарушений безопасности персональных данных, который должен включать описание ситуации, в которой имело место нарушение, описание последствий нарушения и принятые меры по восстановлению, с тем чтобы дать возможность контролирующему органу проверить, выполнены ли обязательства, возложенные на поставщиков согласно частям (5)–(9). Учет должен включать только информацию, необходимую для этой цели.
Статья 71 Закон Oб электронных коммуникациях в Республике Молдова с изменениями 2024 год №241 от 15.11.2007
Структура акта