Prelucrarea datelor cu caracter personal ajută la atingerea obiectivelor fiecărei organizații și este strâns legată de principalele sale activități. Cu toate acestea, prelucrarea datelor cu caracter personal este obiectul reglementărilor naționale sau internaționale specifice. Cerințele de prelucrare a datelor cu caracter personal în Uniunea Europeană (UE) sunt stabilite în prezent prin Regulamentul general al UE privind protecția datelor (GDPR).

Multe companii din Moldova servesc companiilor din UE oferind astfel bunuri și servicii.De exemplu, în anul 2017, exportul total al mărfurilor către UE din Moldova a fost de 1596,6 milioane dolari, reprezentând 65,8% din totalul exporturilor de bunuri în anul respectiv. O mare parte din cetățenii Republicii Moldova au relații de lucru și relații de afaceri cu alte țări ale UE. În afară de aceasta, statul a decis să dezvolte integrarea țării în UE și să pună în aplicare normele UE în diferite sectoare, inclusiv cel ce ține de protecția datelor. În acest context, vor exista tot mai multe situații în care companiile din Moldova sunt supuse aplicabilității directe sau aplicabilității indirecte a GDPR-ului atunci când o companie servește ca persoană împuternicită de operator a companiei în UE.

Dacă nu există nici o îndoială cu privire la aplicabilitatea GDPR în cazul în care o companie este stabilită în UE, ar putea exista unele probleme când și cum se aplică GDPR, dacă compania este stabilită în Moldova. GDPR poate fi direct aplicabil oricărei companii stabilite în Republica Moldova dacă au loc anumite criterii ale activităților sale de prelucrare a datelor cu caracter personal. În plus, chiar dacă GDPR se aplică direct unei companii din Moldova din cauza activităților pe care le desfășoară pe piața UE, se poate aplica și legislația națională privind protecția datelor în Moldova. Astfel, compania va trebui să implementeze și cerințele naționale, dacă acestea diferă de regimul GDPR.

Astfel, succesiunea generală a criteriilor privind aplicabilitatea GDPR va fi următoarea: a) activitate economică b) care implică prelucrarea datelor cu caracter personal c) și care are loc în UE prin înființarea companiei moldovenești în UE sau d) de către o companie care este stabilită în Moldova, dacă prelucrarea este direcționată către subiecții datelor în UE. Exemplele următoare descriu toate situațiile posibile privind aplicabilitatea GDPR.

Situația nr. 1 – aplicabilitate directă

Companie din Republica Moldova – care nu este stabilită în UE

Conform art. 3 alin. (2) lit. a) din GDPR, se aplică direct oricărei companii sau altei persoane juridice din Moldova în care activitățile de prelucrare a datelor cu caracter personal ale companiei (sau entității) relevante din Republica Moldova se referă la:

• oferirea de bunuri sau servicii, indiferent dacă este necesară o plată către subiectul datelor,către astfel de subiecți de date din Uniune.

“Oferirea de bunuri sau servicii” este mai mult decât simpla accesare a unui site web sau a unei adrese de e-mail, dar poate fi evidențiată prin folosirea limbii sau monedei utilizate în mod obișnuit în unul sau mai multe state membre, cu posibilitatea de a comanda bunuri/servicii acolo. De exemplu, serviciile bazate pe web care au vizat subiecții datelor ale unui sau mai multor state membre ale UE, vânzarea de bunuri sau servicii pe piața UE sau oferirea de servicii publice de tip cloud, astfel colectând date cu caracter personal, rețele de socializare sau aplicațiile care prelucrează date cu caracter personal din UE.

Situația nr. 2– aplicabilitate directă

Companie din Republica Moldova – care nu este stabilită în UE

Conform articolului 3 (2) litera (b) din GDPR, se aplică direct oricărei companii sau altei persoane juridice din Moldova în care activitățile de prelucrare a datelor cu caracter personal ale companiei (sau entității) relevante din Republica Moldova se referă la:

• activitățile de prelucrare a datelor cu caracter personal sunt legate de monitorizarea comportamentului subiecților de date, în măsura în care comportamentul acestora are loc în cadrul UE.

De exemplu, profilarea utilizatorilor de internet în UE pe baza activităților legate de utilizatori etc.

În situația nr. 1 și situația nr.2. – GDPR cere ca operatorul sau persoana împuternicită de operator (din Moldova) să desemneze un reprezentant prin informarea autorității de supraveghere relevante din statul membru UE (cu excepția cazului în care prelucrarea este ocazională, nu include prelucrarea la scară largă a categoriilor speciale de date cu caracter personal sau prelucrarea datelor cu caracter personal referitoare la condamnările penale și infracțiuni și este puțin probabil să ducă la un risc pentru drepturile și libertățile persoanelor fizice, ținând seama de natura, contextul, domeniul de aplicare și scopurile prelucrării sau dacă operatorul este o autoritate sau organism public).

Situația nr.3- aplicabilitate directă

Compania din Moldova are o unitate locală în UE și/sau este legată de aceasta

În cazul în care compania înregistrată a Republicii Moldova în statul membru al Uniunii Europene are o companie filială, o reprezentanță sau orice alt sediu care prelucrează datele cu caracter personal în cadrul activității sale economice în UE, acest sediu în UE va fi tratat ca o unitate în UE și atunci GDPR se aplică cel puțin acestui sediu în UE (dacă nu la toate celelalte sedii sau companii din Moldova ca un grup de operatori în UE).

Pentru o decizie clară privind aplicabilitatea GDPR la alte sedii din Moldova, ar trebui să evaluați dacă sediile dvs. din UE prelucrează date cu caracter personal numai în ceea ce privește piața UE, datele personale nu sunt transferate în nici un fel în Moldova sau nu sunt folosite în careva scop în Moldova. În caz contrar, se pot impune sancțiuni companiei în UE și cuantumul sancțiunilor va fi calculat în baza cifrei de afaceri a grupului din întreaga lume.

Situația nr.4 – aplicabilitate indirectă

Compania din Moldova operează ca persoană împuternicită de operator pentru o altă companie din UE

Datele personale sunt transferate companiei moldovenești de la o entitate din UE (poate fi propria companie filială sau orice alt partener din UE) (de exemplu, cu scopul de a face procese de valoare adăugată a datelor personale transferate ca un serviciu, pur și simplu stocarea acestor date pentru o altă companie sau livrarea altor servicii de prelucrare a datelor cu caracter personal către companiile din UE în calitate de persoană împuternicită de operator.

În această situație, datele personale sunt prelucrate de entitatea din Moldova ca persoană împuterncită de operator conform GDPR-ului și unele dintre cerințele acestuiase aplică prin articolul 28 din GDPR și criteriile privind caracterul adecvat de protecție a datelor în cazul transferului de date cu caracter personal către țări terțe.

Situația nr. 5 – GDPR nu se aplică

Compania este stabilită în Moldova și prelucrarea se referă numai la activitatea economică realizată în Moldova

Dacă compania din Moldova nu prelucrează și nu planifică să prelucreze date personale în modul reflectat la Situațiile 1-4, în acest caz GDPR nu se aplică.

Scopul acestui studiu este, în primul rând, creșterea gradului de sensibilizare privind cazurile de aplicabilitate directă a GDPR-ului pentru companiile din Moldova și oferirea de recomandări pentru implementarea principiilor GDPR și explicații ale principalelor cerințe GDPR.

Informațiile sunt incluse într-un studiu elaborat de expertul UE, Maris Rukers, în privința impactului GDPR asupra companiilor private, prezentat de către Centrul Național pentru Protecția Datelor cu Caracter Personal. Acest document a fost pregătit pentru a lua în considerare rezultatele ședințelor organizate de Centrul Național pentru Protecția Datelor cu Caracter Personal cu asociații și companii din sectorul privat cât și revizuirea răspunsurilor lor asupra practicilor existente de prelucrare a datelor.