· web viewproiect de lege votat la 30.11.2018 în prima lectură în plenul parlamentului, care...

Anexă

la Hotărârea Curții de Conturi

nr.15 din 27 martie 2019

CURTEA DE CONTURI A REPUBLICII MOLDOVA

MD-2001, mun. Chișinău, bd. Ştefan cel Mare și Sfânt nr.69, tel.: (+373) 22 23 25 79, fax: (+373) 22 23 30 20, www.ccrm.md; e-mail: [email protected]

RAPORTUL

misiunii de follow-up al auditului TI „Cum se asigură protecția datelor cu caracter personal în domeniul asistenței medicale primare, prelucrate în cadrul sistemelor informaționale automatizate?”

(Hotărârea Curții de Conturi nr.48 din 05 decembrie 2016)

Chișinău, 2019

47

CUPRINSLISTA ACRONIMELOR1GLOSAR2SINTEZA3INTRODUCERE4SFERA ȘI ABORDAREA misiunii de follow-up5I.CONSTATĂRI71.1.Măsurile întreprinse pentru executarea cerințelor expuse în Hotărârea Curții de Conturi nu au asigurat în deplină măsură eliminarea neajunsurilor constatate de auditul precedent72.2. Nivelul de implementare a recomandărilor din Raportul misiunii de audit precedente atestă insuficiența, după caz, ineficiența măsurilor întreprinse în perioada de referință de către factorii de decizie, fapt ce condiționează persistența neajunsurilor constatate anterior de Curtea de Conturi14II.CONCLUZII GENERALE42III.RECOMANDĂRI43IV.Echipa de audit a Curții de Conturi45ANEXE........................................................................................................................................................46Anexa nr.1. Structura cadrului instituțional aferent AMP46Anexa nr.2. Analiza corectitudinii datelor generate din SIA AMP în perioada decembrie 2018 – ianuarie 201947Anexa nr.3. Interconexiunea SIA AMP cu alte SI și registre de stat48Anexa nr.4. Analiza nivelului de implementare a recomandărilor și executare a cerințelor de către entitățile vizate în Hotărârea Curții de Conturi nr.48 din 05.12.201649

LISTA ACRONIMELOR

AMP

Asistența medicală primară

AMT

Asociația Medicală Teritorială

BCP

Business Continuity Plan (Plan de continuitate în afaceri)

BM

Banca Mondială

CNAM

Compania Națională de Asigurări în Medicină

CC

Curtea de Conturi

CGE

Centrul de Guvernare Electronică

COI

Common Object Interface (Interfață comună a obiectelor)

CMF

Centrul Medicilor de Familie

CNF

Cerințe nonfuncționale

CNPDCP

Centrul Național pentru Protecția Datelor cu Caracter Personal

CR

Consiliul Raional

CS

Centrul de Sănătate

DRP

Disaster Recovery Plan (Plan de recuperare în caz de dezastru)

IaaS

Infrastructura ca serviciu

ID

Nume de utilizator/identificator de utilizator

IMSP

Instituție medico-sanitară publică

ISA

Instituția Supremă de Audit

Î.S. „CRIS „Registru””

Întreprinderea de Stat „Centrul Resurselor Informaționale de Stat „Registru””

M-Cloud

Platforma tehnologică comună a Guvernului Republicii Moldova ce se implementează pe baza tehnologiei Cloud Computing

MPass

Serviciul electronic guvernamental de autentificare şi control al accesului (MPass)

MS

Ministerul Sănătății, începând cu anul 2017, după reforma APC, MSMPS

MTIC

Ministerul Tehnologiei Informației și Comunicațiilor

OMF

Oficiul Medicilor de Familie

OS

Oficiul de Sănătate

REODCP

Registrul de evidență al operatorilor de date cu caracter personal

RM

Republica Moldova

RRSIS

Registrul resurselor şi sistemelor informaționale de stat

RSP

Registrul de Stat al Populației

SIA AMP

Sistemul Informațional Automatizat pentru Asistența Medicală Primară

SIA

Sistemul Informațional Automatizat

SI

Sistemul Informațional

SIIS

Sistemul Informațional Integrat în Sănătate

ÎS STISC

Întreprinderea de Stat Serviciul Tehnologia Informației și Securitate Cibernetică

TI

Tehnologii Informaționale

TIC

Tehnologii Informaționale şi Comunicații

UE

Uniunea Europeană

VPN

Rețea virtuală privată (Virtual Private Network)

GLOSAR

Acceptanță

acord formal ca un serviciu TI, proces sau alte livrabile să fie complete, corecte, de încredere și să satisfacă cerințele specificate

Administrator global

persoană cu studii în domeniul TI, care cunoaște noțiunile medicale, din cadrul MS (echipei tehnice de implementare), responsabilă de gestionarea, auditul, monitorizarea corespunderii informației, modificarea, anularea și operarea resurselor SI pentru folosirea acestora de către alți utilizatori

Administrator local

persoană din cadrul instituției medicale, responsabilă de gestionarea, auditul utilizatorilor și operarea drepturilor de acces pentru folosirea de către alți utilizatori a resurselor SI

Autentificare

verificarea identificatorului atribuit subiectului de acces, confirmarea autenticității

Bază de date

totalitate de date, organizate conform unei structuri conceptuale, ce descriu caracteristicile principale şi raporturile dintre esențe, destinată unui domeniu sau mai multor domenii de aplicare

Back-up/

copii de rezervă

copierea datelor pentru a fi protejate împotriva pierderii sau distrugerii integrității ori disponibilității originalului

Cerință/

recomandare

executată/

implementată

informațiile prezentate de către entitatea auditată/alte organe și instituții vizate în dispozitivul hotărârii care atestă faptul că au fost întreprinse măsurile necesare în vederea realizării recomandării/cerinței înaintate, fiind eliminate neajunsurile constatate de auditul precedent

Cerință/recomandare parțial executată/

implementată

informațiile prezentate de către entitate nu sunt complete, fie măsurile întreprinse nu sunt suficiente, fiind doar inițiate unele proceduri, acțiuni, neajunsurile și carențele constatate de auditul precedent persistând și în perioada supusă verificării

Cerință/recomandare neexecutată/

neimplementată

entitatea nu a întreprins măsurile necesare, fie nu a prezentat nicio informație care ar atesta întreprinderea unor măsuri în vederea conformării la cerințele și/sau recomandările înaintate, sau acțiunile întreprinse nu sunt adecvate

Ciclu de viață

diferite stadii din viața unui Serviciu TI, unui element de configurație, incident, unei probleme, schimbări etc. Ciclul de viață definește categoriile pentru starea și tranzițiile stării care sunt permise

Controale TI

activități specifice desfășurate de persoane sau sisteme concepute pentru a se asigura că obiectivele de afaceri sunt îndeplinite. Acestea sunt un subset de controale interne ale unei întreprinderi. Controalele TI se referă la confidențialitatea, integritatea şi disponibilitatea datelor, precum şi la gestionarea generală a funcției TI ale întreprinderii

Date cu caracter personal

orice informație referitoare la o persoană fizică identificată sau identificabilă (subiect al datelor cu caracter personal). Persoana identificabilă este persoana care poate fi identificată, direct sau indirect, prin referire la un număr de identificare sau la unul ori mai multe elemente specifice identității sale fizice, fiziologice, psihice, economice, culturale sau sociale

Dezvoltare

proces responsabil de crearea sau modificarea unui serviciu TI ori a unei aplicații. De asemenea, este folosit pentru a se referi la un rol sau la un grup care îndeplinește o muncă de dezvoltare

Externalizare a serviciilor TI

serviciu furnizat unuia sau mai multor clienți/beneficiari de către un furnizor de servicii TI. Un serviciu TI se bazează pe folosirea TIC și este alcătuit dintr-o combinație de persoane, procese și tehnologii și ar trebui să fie definit într-un Acord de nivel serviciu agreat/SLA exhaustiv

Help Desk

punctul unic de contact între furnizorul de servicii și utilizatori. Un Help Desk/Service Desk tipic administrează incidentele şi cerințele de servicii și, de asemenea, gestionează comunicarea cu utilizatorii

Misiune de follow-up

acțiune privind verificarea și evaluarea nivelului de implementare a cerințelor și recomandărilor de audit dispuse printr-o Hotărâre a Curții de Conturi

Mentenanță

ansamblu de activități tehnico-organizatorice care au drept scop asigurarea funcționării sistemului la un nivel agreat de disponibilitate. Prin activități se pot înțelege atât operațiile de întreținere a componentelor sistemului informatic, cât şi de creare de procese, funcționalități noi destinate să asigure funcționarea normală sau dezvoltarea sistemului

Modul/e

SIA AMP este conceput într-un mod modular, facilitând integrarea ușoară și dezvoltarea de noi funcționalități, extinderea modulelor și interacțiunea de funcționalități generice

Operator de date cu caracter personal

persoana fizică sau persoana juridică de drept public sau de drept privat, inclusiv autoritatea publică, orice altă instituție ori organizație care, în mod individual sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal, prevăzute în mod expres de legislația în vigoare

Sistem informațional

totalitate de resurse şi tehnologii informaţionale interdependente, de metode şi de personal, destinată păstrării, prelucrării şi furnizării de informaţie

Tehnologia informației (TI)

folosirea tehnologiei pentru stocarea, comunicarea și procesarea informației. În mod tipic, tehnologia include calculatoare, telecomunicații, aplicații și alte software-uri. Informația poate include date ale afacerii, voce, imagini, video etc. Tehnologia informației este adesea folosită pentru a sprijini procesele afacerii/de business prin intermediul serviciilor TI

Utilizator

persoană care acționează sub autoritatea deținătorului de date cu caracter personal, cu drept recunoscut de acces la sistemele informaționale de date cu caracter personal

SINTEZA

Rezultatele misiunii de verificare relevă că, deși au fost întreprinse unele măsuri rezultative, acestea nu au asigurat în măsură deplină executarea cerințelor și implementarea recomandărilor înaintate, astfel atestându-se un nivel relativ redus de executare a cerințelor și implementare a recomandărilor înaintate de auditul precedent. Acest fapt denotă persistența unor probleme identificate de auditul precedent și în perioada supusă verificării (2017-2018), cu sporirea gradului de materializare a riscurilor aferente. Totodată, se relevă anumite progrese în aspecte de reglementare și consolidare a controalelor aferente SIA ce prelucrează date din domeniul asistenței medicale primare (AMP). Reieșind din cele expuse, se relevă că, din totalul de 45 de cerințe și recomandări de audit formulate și înaintate prin Hotărârea Curții de Conturi nr.48 din 05.12.2016[footnoteRef:1] (10 cerințe din Hotărârea Curții de Conturi și 35 de recomandări din Raportul de audit), au fost implementate/executate integral 15 cerințe și recomandări, parțial implementate – 26, și neimplementate /neexecutate – 4 cerințe și recomandări. O analiză mai în detaliu a nivelului de implementare/executare a recomandărilor și cerințelor înaintate prin Hotărârea nominalizată se prezintă în Anexa nr.4 la prezentul Raport. [1: Hotărârea Curții de Conturi nr.48 din 05.12.2016 „Cu privire la Raportul de audit TI „Cum se asigură protecția datelor cu caracter personal în domeniul asistenței medicale primare, prelucrate în cadrul sistemelor informaționale automatizate?”, în continuare – Hotărârea Curții de Conturi nr.48 din 05.12.2016.]

De menționat că, printre cauzele ce au generat gradul relativ redus de implementare a recomandărilor, se pot evidenția: capacitățile instituționale insuficiente ale instituțiilor auditate, inclusiv în domeniul managementului proiectelor și tehnologiilor informaționale, precum și neasigurarea memoriei instituționale, în contextul fluctuației frecvente a personalului; modificările în cadrul normativ și instituțional, procesul îndelungat de legiferare a actelor normative etc.

Cele reflectate în constatările de audit indică asupra unei serii de aspecte importante, care necesită intervenții stringente, în acest sens fiind înaintate un șir de recomandări pentru remedierea neconformităților și îmbunătățirea activității în domeniile auditate.

În context, identificarea și asigurarea realizării soluțiilor și condițiilor optime ce ar contribui la consolidarea cadrului instituțional și procedural aferent domeniului, precum și protecția adecvată a datelor personale constituie o premisă necesară pentru atingerea scopului scontat în aspectul conformării procedurilor și cerințelor de protecție a datelor cu caracter personal.

CURTEA DE CONTURI A REPUBLICII MOLDOVA

Direcția audit TI

INTRODUCERE

Curtea de Conturi, fiind motivată de importanța/relevanța modului de asigurare a protecției datelor cu caracter personal, prelucrate în cadrul sistemelor informaționale, în calitate de Instituție Supremă de Audit, membră a grupului de lucru EUROSAI privind auditul tehnologiilor informaționale (TI), a participat, în anul 2016, la misiunea de audit paralel în domeniul respectiv, realizată în comun cu alte 3 Instituții Supreme de Audit (din Belgia, Malta și Lituania).

Auditul efectuat de Curtea de Conturi s-a axat pe evaluarea nivelului de protecție și supraveghere a datelor cu caracter personal din domeniul medicinei primare, prelucrate în mod automatizat, inclusiv pe verificarea dacă:

-cadrul normativ-legislativ este adecvat pentru asigurarea protecției datelor cu caracter personal, îndeosebi a celor privind starea de sănătate, și corespunde legislației europene în domeniu;

-CNPDCP, în calitate de autoritate națională de supraveghere a protecției datelor cu caracter personal, dispune de instrumente/pârghii suficiente și adecvate pentru monitorizarea prelucrării datelor cu caracter personal (privind starea de sănătate) și le aplică în mod corespunzător;

-Ministerul Sănătății și instituțiile medicale ce prestează servicii medicale primare dispun de controale generale adecvate și suficiente pentru a proteja datele cu caracter personal, în special datele privind starea de sănătate, la prelucrarea acestora în sistemele informaționale automatizate.

Rezultatele auditului, aprobate prin Hotărârea Curții de Conturi nr.48 din 05.12.2016, au relevat că, per ansamblu, cu unele rezerve de îmbunătățire, sunt asigurate condițiile necesare protecției datelor cu caracter personal, în conformitate cu cerințele UE, inclusiv din domeniul asistenței medicale primare, prin instituirea unui cadru normativ-legislativ relevant, a unei autorități naționale responsabile de monitorizarea și controlul prelucrării datelor cu caracter personal etc. Totodată, auditul a constatat unele probleme, vulnerabilități și deficiențe majore, precum și alți factori care pot afecta protecția datelor cu caracter personal, inclusiv din domeniul medicinei primare, prelucrate în cadrul SIA atât la nivel național (prin implementarea Sistemului Informațional Automatizat „Asistență Medicală Primară”, vezi Anexa nr.1 și Anexa nr.3 la prezentul Raport), cât și la nivelul instituțiilor medicale care prestează servicii de asistență medicală primară. Acestea sunt generate de delegarea inechitabilă a responsabilităților/atribuțiilor în raport cu capacitățile disponibile (resurse umane, financiare etc.) ale instituțiilor responsabile vizate în Raportul auditului precedent. De rând cu acestea, lipsa unei viziuni strategice/decizii unice în domeniul automatizării asistenței medicale primare, a unui control adecvat din partea entităților responsabile în acest sens, precum și nedelimitarea clară a responsabilităților/competențelor în cadrul sistemului de asistență medicală primară (MS, APL/CR) au generat dezvoltarea și utilizarea individuală la nivelul IMSP a SI pentru automatizarea proceselor în domeniu, condiționând costuri financiare pentru dezvoltarea/achiziționarea, administrarea și asigurarea mentenanței acestora și riscuri majore privind protecția datelor și securitatea informației respective.

În acest context, se necesită consolidarea cadrului normativ relevant domeniului, a capacităților instituționale ale CNPDCP, MS (pentru gestiunea ulterioară a SIA AMP, sistem prevăzut a fi implementat conform Acordului de Asociere Republica Moldova – Uniunea Europeană), și ale IMSP ce prestează servicii de asistență medicală primară, precum și responsabilizarea autorităților în vederea implementării/respectării cerințelor de securitate a datelor cu caracter personal la prelucrarea acestora în SI. La fel, asigurarea unei conlucrări eficiente între factorii implicați în domeniul aferent tematicii auditului, cu întreprinderea măsurilor necesare pentru implementarea recomandărilor înaintate de audit, în vederea înlăturării neajunsurilor elucidate în prezentul Raport vor conduce la realizarea scopurilor propuse (implicit, în aspectul protecției datelor speciale cu caracter personal).

În scopul remedierii neajunsurilor, disfuncționalităților, precum și redresării situației atestate, Curtea de Conturi, prin Hotărârea nr.48 din 05.12.2016, a înaintat autorităților responsabile (CNPDCP, MS, CNAM, IMSP auditate, precum și altor organe responsabile) 10 cerințe, dintre care 5 vizează implementarea recomandărilor din Raportul de audit, precum și 35 de recomandări expuse în Raportul de audit anexat la Hotărârea Curții de Conturi sus-menționată.

Prezenta misiune de follow-up a fost planificată și realizată în temeiul prevederilor Legii nr.260 din 07.12.2017[footnoteRef:2], Programelor activității de audit a Curții de Conturi pe anii 2018[footnoteRef:3] și, respectiv, 2019[footnoteRef:4] și în conformitate cu Standardele Internaționale de Audit relevante, puse în aplicare de Curtea de Conturi[footnoteRef:5], Manualul de audit TI al Curții[footnoteRef:6] și bunele practici în domeniul auditului TI[footnoteRef:7], în scopul evaluării nivelului de conformare a entităților vizate în dispozitivul Hotărârii respective, cu cuantificarea acțiunilor întreprinse și identificarea impedimentelor, factorilor subiectivi și obiectivi care au condiționat neexecutarea cerințelor și neimplementarea recomandărilor înaintate. [2: Legea nr.260 din 07.12.2017 privind organizarea și funcționarea Curții de Conturi a Republicii Moldova, cu modificările și completările ulterioare, în continuare – Legea nr.260 din 07.12.2017.] [3: Hotărârea Curții de Conturi nr.75 din 29.12.2017 „Cu privire la aprobarea Programului activității de audit a Curții de Conturi pe anul 2018”, cu modificările și completările ulterioare.] [4: Hotărârea Curții de Conturi nr.100 din 21.12.2018 „Cu privire la aprobarea Programului activității de audit a Curții de Conturi pe anul 2019”, cu modificările și completările ulterioare.] [5: ISSAI 100 „Principiile fundamentale ale auditului sectorului public”, ISSAI 400 „Principiile fundamentale ale auditului de conformitate”, ISSAI 5300 „Linii directorii privind auditul TI” și ISSAI 5310 „Metodologia de revizuire a Sistemelor de securitate informațională – Ghidul privind revizuirea sistemelor de securitate informațională în autoritățile publice”, puse în aplicare prin Hotărârile Curții de Conturi nr.60 din 10.12.2013 și, respectiv, nr.7 din 10.03.2014. ] [6: Manualul de audit al tehnologiilor informaționale, aprobat prin Hotărârea Curții de Conturi nr.69 din 30.12.2010.] [7: COBIT 4.1.– Cadrul de referință, Obiectivele controlului, Ghiduri pentru management, Modele de maturitate (în continuare – COBIT 4.1.). ]

SFERA ȘI ABORDAREA AUDITULUI

Pornind de la premisa că auditul follow-up reprezintă o etapă importantă a auditului publici extern, obiectivul general al misiunii de audit a constat în evaluarea caracterului adecvat și a oportunității acțiunilor întreprinse de autoritățile vizate pentru executarea cerințelor și implementarea recomandărilor înaintate de auditul precedent, stabilind dacă entitatea auditată a abordat problemele în mod adecvat, iar acțiunile corective au remediat situația/neajunsurile constatate. Astfel, în vederea realizării obiectivului general, prezentul audit și-a propus următoarele obiective specifice:

· factorii de decizie responsabili au întreprins măsurile necesare în vederea conformării la cerințele și recomandările înaintate de auditul precedent?

· măsurile întreprinse în vederea implementării cerințelor și recomandărilor de audit au avut un efect pozitiv, eliminând neajunsurile constatate de auditul precedent?

Sfera misiunii de follow-up a constituit acțiunile întreprinse de către entitățile vizate în Hotărârea Curții de Conturi nr.48 din 05.12.2016 în perioada 2017-2018 (în continuare – perioada de referință), și anume la: CNPDCP, MS, IMSP AMT „Centru”, IMSP CMF Bălți, IMSP Clinica Universitară de Asistenţă Medicală Primară a USMF „Nicolae Testemiţanu" (în continuare – IMSP „Clinica Universitară de AMP”), suplimentar fiind colectate probe de audit de la unele IMSP ce prestează servicii de asistență medicală primară (AMT „Botanica”, AMT „Buiucani”, AMT „Râșcani”, AMT „Ciocana”, Centrele de Sănătate Orhei, Călărași, Cimișlia, Spitalul Raional Orhei).

Reieșind din specificul acțiunii de follow-up, precum și ținând cont de obiectivele de audit prestabilite, a fost selectată o abordare de audit combinată (pe probleme și pe rezultate), prin determinarea progreselor înregistrate, precum și identificarea riscurilor şi limitărilor, a eventualelor metode de ameliorare a situației pentru eficientizarea activității instituțiilor din domeniu. De menționat că, la evaluarea nivelului de conformare a entității cu cerințele și recomandările înaintate de Curte, au fost examinate acțiunile planificate de MS[footnoteRef:8] și cele efectiv întreprinse, precum și efectele/rezultatele obținute în acest sens. [8: Planul de acțiuni privind implementarea recomandărilor Curții de Conturi expuse în Raportul auditului TI privind protecția datelor cu caracter personal prelucrate în SI din domeniul asistenței medicale primare, elaborat și aprobat de MS în decembrie 2016.]

În calitate de criterii de audit au servit carențele/deficiențele constatate de auditul precedent, precum și pe cerințele/recomandările înaintate în acest sens.

În scopul acumulării unor probe de audit suficiente și relevante, au fost realizate principalele proceduri de audit, precum: contrapunerea informațiilor prezentate de către entitățile vizate, observarea directă, examinarea documentelor, aplicarea interviurilor şi a chestionarelor. În cadrul misiunii au fost colectate, sintetizate, analizate şi interpretate toate tipurile de probe de audit: fizice, verbale, documentare și analitice.

De menționat că rezultatele misiunii de follow-up au fost expuse în prezentul Raport, axându-se pe următoarele aspecte:

· constatarea auditului precedent cu privire la carențele/neajunsurile identificate cu referire la domeniul auditat;

· cerința/recomandarea înaintată prin Hotărârea Curții de Conturi nr.48 din 05.12.2016;

· sinteza acțiunilor realizate de către entitatea vizată în dispozitivul Hotărârii în vederea remedierii neajunsurilor constatate;

· concluziile auditului urmare a procedurilor de audit efectuate, cu evaluarea nivelului de implementare a cerinței/recomandării;

· concluziile generale ale misiunii de verificare, precum și recomandările înaintate.

I. CONSTATĂRI

1.1. Măsurile întreprinse pentru executarea cerințelor expuse în Hotărârea Curții de Conturi nu au asigurat în deplină măsură eliminarea neajunsurilor constatate de auditul precedent.

Pe parcursul perioadei de referință au fost întreprinse anumite acțiuni în vederea eliminării neajunsurilor constatate de auditul precedent, precum și sporirii eficienței și performanței SIA din domeniul AMP, fiind înregistrate anumite progrese. Totuși, acestea nu au fost suficiente și adecvate pentru atingerea impactului scontat. Lipsa/insuficiența capacităților instituționale ale CNPDCP pentru exercitarea conformă a atribuțiilor legale, ale MSMPS pentru gestionarea eficientă a Sistemului, neasigurarea memoriei instituționale la nivelul posesorului SIA AMP, a continuității activităților realizate pe parcursul perioadei de referință condiționează riscuri majore privind protecția datelor și sustenabilitatea SIA. Acest fapt impune intervenirea promptă a managementului instituțiilor respective, prin decizii optime și rezonabile, în vederea gestionării riscurilor aferente SIA și sporirii eficacității acestuia.

Cerința auditului precedent

Acțiuni întreprinse

2.1.1.CNPDCP să întreprindă acțiunile corespunzătoare în vederea implementării recomandărilor expuse în Raportul de audit

au fost întreprinse unele acțiuni în vederea remedierii neajunsurilor constatate de auditul precedent, aspecte reflectate în continuare în prezentul Raport

Efectul măsurilor întreprinse: deși au fost întreprinse anumite acțiuni, acestea, în mare parte, nu au atins impactul scontat. Astfel, nu a fost asigurată eliminarea neajunsurilor/carențelor constatate de auditul precedent, acestea persistând și în perioada de referință (2017-2018). Totodată, auditul relevă că unele acțiuni întreprinse creează premisele necesare pentru îmbunătățirea situației constatate, impactul acestora urmând a se materializa ulterior

Verificările auditului precedent atestă o preocupare insuficientă privind siguranța datelor și informațiilor cu caracter personal (îndeosebi a celor ce vizează starea de sănătate) prelucrate în cadrul sistemelor informaționale (SI), deținute de către autoritățile publice, precum și privind asigurarea condițiilor necesare în acest sens. Totodată, s-a evidențiat necesitatea alinierii la cerințele legislației europene cu referire la protecția datelor cu caracter personal, revizuirii și ajustării cadrului normativ în domeniu, potrivit noilor necesități apărute pe parcurs, inclusiv prin elaborarea unor instrucțiuni sectoriale (în domeniul medical) privind protecția unor astfel de informații, precum și asigurarea condițiilor rezonabile/suficiente pentru realizarea monitorizării/controlului corespunzător asupra aplicării conforme a acestora. În același context, s-a relevat că CNPDCP, în calitatea sa de garant al respectării protecției datelor cu caracter personal, din cauza insuficienței capacităților necesare (inclusiv de resurse umane, financiare), precum și a unor proceduri adecvate nu a intervenit în măsura corespunzătoare, prin utilizarea pârghiilor/instrumentelor legale disponibile, pentru aducerea în concordanță cu norma legală prelucrarea datelor cu caracter personal din domeniul medical, evidențiind, totodată, și necesitatea consolidării procedurilor interne în scopul asigurării gestionării adecvate a riscurilor aferente activității Centrului.

Evaluând activitățile realizate de către CNPDCP pe parcursul perioadei de referință în vederea conformării cu cerințele și recomandările înaintate de Curte prin Hotărârea nr.48 din 05.12.2016, se atestă un grad de executare relativ redus. Astfel, din totalul de 12 recomandări înaintate, 4 (33%) au fost calificate ca fiind implementate, 6 (50%) recomandări – parțial implementate, iar 2 (17%) recomandări – neimplementate. Analiza nivelului de implementare a recomandărilor înaintate de auditul precedent al Curții de Conturi se prezintă în Figura nr.1 din prezentul Raport.

Figura nr.1. Analiza gradului de implementare de către CNPDCP a recomandărilor înaintate de Curtea de Conturi urmare a auditului precedent, în perioada 2017 – 2018

Sursă: Elaborat de către auditor în baza procedurilor de audit efectuate.

Reieșind din faptul că acțiunile întreprinse de entitatea vizată nu au asigurat în deplină măsură eliminarea neajunsurilor constatate, contribuind, totodată, la crearea condițiilor necesare îmbunătățirii situației atestate, auditul consideră cerința ca fiind executată parțial.



2.1.2. CNPDCP să examineze, în comun cu Ministerul Finanțelor, după caz, cu alte autorități, posibilitatea identificării mijloacelor financiare necesare pentru dezvoltarea Registrului de evidență a operatorilor de date cu caracter personal, cu includerea acestora în bugetul instituției

La solicitarea CNPDCP, Ministerul Finanțelor a identificat și planificat în CBTM 2018-2020 mijloace financiare pentru asigurarea lucrărilor de mentenanță, după caz, ajustarea și actualizarea SIA REODCP

Efectul măsurilor întreprinse: identificarea preliminară a necesităților de dezvoltare, planificare a resurselor financiare pentru dezvoltarea SIA. Totuși, nefiind realizate, pe parcursul perioadei verificate, ajustări/actualizări necesare în Sistem, nu s-a asigurat eliminarea neajunsurilor constatate, inclusiv valorificarea potențialelor beneficii și oportunități ale SIA respectiv

Verificările auditului precedent a constatat un șir de neajunsuri și carențe aferente funcționării și performanței SIA Registrul de evidență a operatorilor de date cu caracter personal (SIA REODCP). Totodată, auditul denotă că SIA respectiv, dezvoltat și implementat corespunzător, ar constitui un instrument eficient în procesul monitorizării prelucrării datelor cu caracter personal, inclusiv prin oferirea rapoartelor aferente activității Centrului. În aceeași ordine de idei, auditul relevă că, deși potrivit Conceptului SIA[footnoteRef:9], Registrul urma să reprezinte „instrumentul cheie care va automatiza activitatea CNPDCP”, oferind facilități de recepționare şi procesare on-line a solicitărilor din partea operatorilor de date cu caracter personal şi subiecților datelor cu caracter personal, emiterea deciziilor, generarea rapoartelor de analiză şi monitorizare a situației la zi la momentul desfășurării activității de audit precedente, acesta nu asigură oferirea în totalitate Centrului a celor specificate, îndeosebi a rapoartelor necesare activității instituției. [9: Cap. I pct.1 alin.3) din Hotărârea Guvernului nr.883 din 25.11.2011 „Cu privire la aprobarea Conceptului tehnic al sistemului informațional automatizat „Registrul de stat al operatorilor de date cu caracter personal” (în continuare – Hotărârea Guvernului nr.883 din 25.11.2011).]

Prezenta misiune relevă că, deși au fost planificate resurse pentru dezvoltarea SIA respectiv, precum și planificate, potrivit Planului de acțiuni privind implementarea recomandărilor înaintate de Curte, a activităților de evaluare a necesităților de dezvoltare a SIA REODCP în scopul eficientizării activității Centrului, pe parcursul perioadei de referință, nu au fost realizat/ă un studiu/analiză a necesităților de dezvoltare a Sistemului, nici efectuate ajustări/modificări în Sistem.

Potrivit motivației CNPDCP, noile reglementări din proiectul Legii privind protecția datelor cu caracter personal[footnoteRef:10] nu prevăd obligativitatea operatorilor de date cu caracter personal de a se înregistra la Centru în calitate de operatori de date cu caracter personal în formula actuală, adică prin intermediul resursei informaționale automatizate vizate. Astfel, în vederea racordării cadrului național din domeniul protecției datelor cu caracter personal la noile reglementări și proceduri europene, potrivit proiectului de Lege menționat supra, operatorii de date cu caracter personal în mare parte vor stabili individual măsurile de securitate la prelucrarea datelor în SI. În opinia auditului, lipsa unor prevederi exprese în proiectul de Lege nominalizat referitor la existența și funcționarea Registrului respectiv, nu rezultă nemijlocit în lichidarea Registrului. Or, necesitatea dezvoltării și menținerii Sistemului rezidă și din scopul, obiectivele și beneficiile acestuia în eficientizarea activității Centrului. [10: Proiect de lege votat la 30.11.2018 în prima lectură în Plenul Parlamentului, care rezonează și transpune Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.]

Reieșind din cele constatate, auditul atestă implementarea cerinței. Totodată, în contextul adoptării proiectelor de lege nominalizate, aceasta își va pierde actualitatea/relevanța.



2.2.1.MS să examineze rezultatele auditului în cadrul ședinței Colegiului Ministerului Sănătății, în scopul informării acestuia despre rezultatele auditului și intensificării eforturilor necesare pentru asigurarea funcționării adecvate a SIA AMP, cu respectarea prevederilor cu referire la protecția datelor cu caracter personal din domeniul medical

Rezultatele auditului Curții de Conturi au fost examinate în cadrul Colegiului. Ca urmare, a fost emis Ordinul MS nr.919 din 25.11.2016 prin care a fost aprobat planul de acțiuni privind implementarea recomandărilor Curții de Conturi

Efectul măsurilor întreprinse: stabilirea acțiunilor necesare pentru remedierea carențelor și disfuncționalităților constatate de auditul precedent, cu determinarea responsabililor și a termenelor de realizare a acestora

În contextul celor menționate, auditul atestă executarea cerinței înaintate.



2.2.2. MS să întreprindă măsurile necesare în vederea eliminării deficiențelor constatate de audit, prin implementarea recomandărilor expuse în Raportul de audit

- în conformitate cu Ordinul MS nr.919 din 25.11.2016, a fost instituit grupul de lucru responsabil de întreprinderea măsurilor, au fost stabilite obiectivele, subdiviziunile responsabile și termenele preconizate de execuție, elaborat și aprobat planul de acțiuni privind implementarea recomandărilor;

- a fost emisă Dispoziția MS nr.731 d din 24.11.2016, prin care a fost instituit grupul de lucru responsabil de elaborarea și definitivarea actelor normative necesare pentru implementarea și darea în exploatare a SIA AMP;

- au fost întreprinse un șir de măsuri menite să elimine neajunsurile și problemele constatate de auditul precedent (aspecte redate în continuare în prezentul Raport)

Efectul măsurilor întreprinse: remedierea unor carențe și neconformități constatate de auditul precedent, precum și crearea anumitor condiții necesare pentru îmbunătățirea situației aferente protecției datelor cu caracter personal în SIA AMP. Totodată, insuficiența acțiunilor de remediere, precum și alți factori subiectivi sau obiectivi au condiționat persistența unor probleme și neajunsuri elucidate de misiunea anterioară a Curții de Conturi, fapt care afectează performanța și siguranța SI

Evaluând activitățile realizate de către MSMPS pe parcursul perioadei de referință în scopul conformării cu cerințele și recomandările înaintate de Curte prin Hotărârea nr.48 din 05.12.2016, se atestă un grad de executare relativ redus, fapt condiționat de o serie de factori obiectivi (modificările operate în cadrul normativ și instituțional, fluctuația personalului implicat în implementarea SIA AMP, precum și neasigurarea memoriei instituționale, procesul îndelungat de legiferare a actelor normative etc.), cât și subiectivi (monitorizarea și, după, caz, implicarea insuficientă de către responsabili, neasigurarea condițiilor suficiente în vederea eliminării integrale a neajunsurilor constatate). Astfel, din totalul de 16 recomandări înaintate MS, dintre care 2 în comun cu CNAM și ÎS „CRIS „Registru””, 3 (18%) au fost calificate ca fiind implementate, 12 (75%) recomandări – parțial implementate, iar 1 recomandare (6%) – neimplementată, aspecte redate și în Figura nr.2 din prezentul Raport.

Figura nr.2. Analiza gradului de implementare a recomandărilor de către MS în perioada 2017-2018

Sursă: Elaborat de către auditor în baza rezultatelor procedurilor de audit efectuate.

Reieșind din faptul că acțiunile întreprinse de entitatea vizată nu au asigurat în deplină măsură eliminarea neajunsurilor constatate, auditul atestă executarea parțială a cerinței înaintate.



2.2.3.MS să întreprindă acțiunile corespunzătoare în vederea asigurării conformării instituțiilor medicale din subordine la cadrul legal din domeniul protecției datelor cu caracter personal, în special în partea ce ține de identificarea sistemelor de evidență gestionate și înregistrarea în calitate de operatori de date cu caracter personal

- prin Ordinul MSMPS nr.1499 din 14.12.2018[footnoteRef:11], a fost aprobat Regulamentul cu privire la structura și funcționarea SIA AMP, precum și stabilite măsurile necesare pentru utilizarea Sistemului, inclusiv a celor de acces la acesta, precum și asigurarea protecției datelor și securității informațiilor în acest sens; [11: Ordinul MSMPS nr.1499 din 14.12.2018 „Cu privire la utilizarea Sistemului Informațional Automatizat Asistență Medicală Primară în cadrul Prestatorilor de servicii medicale din Republica Moldova, care prestează servicii medicale de asistență medicală primară, precum și asistență medicală specializată de ambulator”, în continuare – Ordinul MSMPS nr.1499 din 14.12.2018.]

- prin Ordinul MSMPS nr.1497 din 14.12.2018[footnoteRef:12], a fost aprobată Politica de securitate a datelor cu caracter personal în cadrul SIA, fiind stabilite responsabilitățile Prestatorilor de servicii de AMP privind întreprinderea măsurilor necesare pentru elaborarea și implementarea Politicii de securitate la nivelul instituțiilor; [12: Ordinul MSMPS nr.1497 din 14.12.2018 „Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal în cadrul Sistemelor Informaționale Automatizate (SIA)”, în continuare – Ordinul MSMPS nr.1497 din 14.12.2018.]

- a fost elaborat și înaintat, în modul stabilit, proiectul Hotărârii Guvernului „Pentru alocarea semnăturilor electronice avansate calificate a utilizatorilor Sistemului informațional automatizat „Asistența Medicală Primară””, care la moment este la etapa de consultare;

- a fost elaborat conceptul Agenției Tehnologii Informaționale în Sănătate, care se preconiza să preia sarcinile de administrare, mentenanță și audit a SIA AMP;

- a fost aprobată Hotărârea Guvernului nr.164 din 07.03.2019[footnoteRef:13], care stabilește obligativitatea autentificării în SIA AMP prin serviciul guvernamental de autentificare MPass; [13: Hotărârea Guvernului nr.164 din 07.03.2019 „Privind modul de autentificare în Sistemul informațional automatizat „Asistența Medicală Primară””, în continuare - Hotărârea Guvernului nr.164 din 07.03.2019.]

- în scopul realizării Hotărârii Guvernului nr. 164 din 07.03.2019, a fost emis Ordinul MSMPS nr.338 din 15.03.2019;

- conform prevederilor Hotărârii menționate, prin scrisoarea nr.01-6/40 din 15.03.2019, Ministerul a remis Serviciului Tehnologii Informaționale și Securitate Cibernetică (STISC) Lista prestatorilor de servicii medicale, care utilizează SIA AMP, în vederea creării semnăturilor electronice avansate utilizatorilor Sistemului respectiv. De asemenea, prin Ordinul menționat au fost indicați prestatorilor de servicii medicale pașii care necesită a fi întreprinși pentru a solicita crearea semnăturilor electronice pentru utilizatorii SIA AMP

Efectul măsurilor întreprinse: crearea condițiilor privind asigurarea conformării instituțiilor medicale la prevederile cadrului normativ aferent domeniului protecției datelor cu caracter personal, impactul acestora urmând a fi cuantificat ulterior

Verificările efectuate în cadrul misiunii de follow-up denotă că acțiunile realizate de către Minister în perioada de referință au creat condițiile necesare pentru asigurarea pe viitor a conformării cu cerințele regulamentare în materie de securitate și protecție a datelor cu caracter personal. În context, se relevă că, odată cu aprobarea Hotărârii Guvernului nr.138 din 27.02.2019, responsabilitatea privind administrarea și dezvoltarea ulterioară a SIA AMP a fost delegată Companiei Naționale de Asigurări în Medicină (CNAM). Astfel, actele normative care reglementează structura și modul de utilizare și asigurare a securității SIA AMP urmează a fi ajustate la noile condiții/necesități.

Totodată, procedurile de audit realizate au determinat persistența unor carențe/disfuncționalități și neajunsuri condiționate de insuficiența și, după caz, ineficiența măsurilor întreprinse în vederea remedierii acestora, aspecte redate în continuare în prezentul Raport.

În contextul celor expuse, auditul atestă executarea parțială a cerinței înaintate.



2.2.4.MS să inițieze, de comun cu instituțiile ale căror procese au fost automatizate și integrate în SIA AMP, o revizuire completă a cadrului normativ relevant activității lor, ținând cont de utilizarea SI respectiv în acest sens, cu înaintarea propunerilor de rigoare în modul stabilit

- pe parcursul perioadei de referință, MS a elaborat un set de acte normative care reglementează structura și modul de utilizare și asigurare a securității datelor din SIA AMP, aspecte menționate anterior;

- în scopul ajustării cadrului normativ la cerințele ce țin de punerea în aplicare a sistemelor informaționale care includ procesarea datelor cu caracter personal în domeniul medical, MS a elaborat și înaintat în modul stabilit propunerile de rigoare pentru modificarea și completarea Hotărârii Guvernului nr.586 din 24.07.2017, care au fost aprobate prin Hotărârea Guvernului nr.283 din 04.04.2018[footnoteRef:14] [14: Hotărârea Guvernului nr.283 din 04.04.2018 „Cu privire la modificarea şi completarea Hotărârii Guvernului nr.586 din 24 iulie 2017”.]

Efectul măsurilor întreprinse: crearea premiselor necesare pentru asigurarea funcționării conforme a SIA AMP

În contextul acțiunilor realizate pe parcursul perioadei de referință de către Minister, auditul consideră cerința ca fiind executată.



2.2.5.MS să asigure, de comun cu CNPDCP, conformarea prelucrării datelor cu caracter personal din domeniul medical la cerințele legale aferente

- organizarea și realizarea ședințelor comune de lucru cu participarea MS și CNPDCP privind conformarea SIA AMP la cerințele cadrului normativ relevant și asigurarea condițiilor necesare pentru înregistrarea SIA AMP în REODCP deținut de Centru;

- CNPDCP s-a expus asupra unui set de documente elaborat de MS în vederea înregistrării SIA AMP în SI REODCP, precum și a ghidat și oferit consultări MS și unor instituții medicale prin descrierea pașilor ce urmează a fi întreprinși în vederea înregistrării atât a SI din domeniu, cât și necesitatea identificării altor sisteme de evidență a datelor cu caracter personal gestionate, pentru asigurarea conformării procesului de prelucrare a datelor personale la cadrul normativ din domeniu;

- urmare a recomandărilor din partea CNPDCP, MS a definitivat și aprobat setul de acte care reglementează structura, modul de utilizare și funcționare a SIA AMP, nominalizate anterior;

- pe parcursul anului 2018, în baza plângerilor înaintate de unii subiecți de date, CNPDCP a inițiat 5 controale ale legalității prelucrării datelor cu caracter personal în domeniul medical, în urma cărora au fost emise decizii privind constatarea încălcării Legii privind protecția datelor cu caracter personal de către instituții medicale sau angajați – cadre medicale din cadrul acestora, inclusiv cu intervenirea în calitate de agent constatator

Efectul măsurilor întreprinse: asigurarea condițiilor necesare și asigurarea conformării prelucrării datelor la cerințele cadrului legal în vigoare, cu înregistrarea, după caz, a unor instituții medicale în calitate de operator de date cu caracter personal, inclusiv a sistemelor de evidență. Potrivit datelor prezentate de CNPDCP, în perioada 2017- 2018, 17 instituții medicale s-au conformat prevederilor legale din domeniul protecției datelor personale, fiind înregistrate în SI REODCP, în calitate de operatori cu mai multe sisteme de evidență gestionate. Totodată, deși au fost create condițiile necesare pentru asigurarea funcționării conforme a SIA AMP, lipsa unui mecanism eficient de monitorizare condiționează riscuri aferente atingerii rezultatelor scontate în acest sens

Examinările efectuate în cadrul misiunii de follow-up relevă că, deși s-a evidențiat intensificarea activităților de înregistrare a instituțiilor medicale în SIA deținut de CNPDCP, precum și sporirea nivelului de conștientizare a necesităților și cerințelor aferente domeniului protecției datelor, totuși, în opinia auditului, acestea nu au fost în deplină măsură suficiente, fiind necesare măsuri continue de informare și supraveghere a activităților de conformare a instituțiilor din domeniul medical la cerințele cadrului normativ în domeniu. În context, urmare a procedurilor de audit efectuate, inclusiv a intervievărilor și chestionărilor realizate în cadrul MSMPS și unor IMSP, s-a constatat că unele neconformități atestate de auditul precedent (neînregistrarea în SIA REODCP, lipsa/insuficiența controalelor/instrucțiunilor aferente protecției datelor, inclusiv în raport cu părțile terțe etc.), au persistat și pe parcursul perioadei de referință (aspecte redate în continuare în prezentul Raport).

De menționat că, în perioada desfășurării misiunii de verificare, din 12 IMSP chestionate[footnoteRef:15], 6 IMSP[footnoteRef:16] s-au conformat cerințelor legale privind înregistrarea în calitate de operator de date cu caracter personal în Registrul deținut de Centru, iar alte 3 IMSP[footnoteRef:17] au inițiat acțiunile necesare în acest sens. În contextul celor expuse, cerința este calificată ca fiind parțial implementată. [15: IMSP „CMF Bălți”, IMSP „AMT „Ciocana””, IMSP „AMT „Buiucani””, IMSP „AMT „Râșcani””, IMSP „AMT „Botanica””, IMSP Centrele de Sănătate nr.1 și nr.2 și IMSP Spitalul raional din Orhei, IMSP „Centrul de Sănătate” și IMSP Spitalul raional Călărași, IMSP „Centrul de sănătate Cimișlia”, IMSP „Clinica Universitară de Asistență Medicală Primară”.] [16: IMSP „CMF Bălți”, IMSP „AMT „Ciocana””, IMSP „AMT „Buiucani””, IMSP „AMT „Râșcani””, IMSP „AMT „Botanica””, IMSP Centrul de Sănătate nr.2 din raionul Orhei.] [17: IMSP „Centrul de Sănătate” din raionul Călărași, IMSP „Centrul de sănătate Cimișlia”, IMSP „Clinica Universitară de Asistență Medicală Primară”.]



2.3. Instituțiile medico-sanitare publice: AMT „Centru”, „CMF mun. Bălți” și „Clinica Universitară de Asistență Medicală Primară”, pentru întreprinderea măsurilor necesare de asigurare a alinierii la normele privind protecția datelor cu caracter personal, prin implementarea recomandărilor din Raportul de audit

În scopul implementării recomandărilor de audit, IMSP menționate au întreprins, pe parcursul perioadei de referință, măsurile necesare în scopul eliminării neajunsurilor constatate de auditul precedent, aspecte redate în continuare în prezentul Raport

Efectul măsurilor întreprinse: cu unele rezerve de îmbunătățire, instituțiile medicale respective au asigurat condițiile necesare pentru conformarea activității cu cerințele regulamentare privind protecția datelor cu caracter personal, inclusiv prin: consolidarea cadrului normativ intern aferent domeniului protecției datelor cu caracter personal, intensificarea procedurilor de monitorizare și asigurare a prelucrării datelor cu caracter personal etc.

Verificările efectuate în cadrul misiunii de follow-up denotă că, pe parcursul perioadei de referință, măsurile întreprinse de către IMSP auditate au avut ca scop îmbunătățirea situației privind protecția datelor cu caracter personal prelucrate în SI utilizate, consolidarea cadrului normativ intern aferent domeniului respectiv, precum și a controalelor generale ale Sistemelor utilizate în procesul de prestare a serviciilor de AMP.

De menționat că, potrivit prevederilor Ordinului MSMPS nr.1499 din 14.12.2018[footnoteRef:18], începând cu data de 15.12.2018, toți prestatorii de servicii medicale din Republica Moldova, care prestează servicii de AMP și asistență medicală spitalicească de ambulatoriu urmează să utilizeze SIA AMP în activitatea lor de prestare a serviciilor de AMP și de raportare către organele de resort. [18: Pct.4 din Ordinul MSMPS nr.1499 din 14.12.2018 „Cu privire la utilizarea Sistemului Informațional Automatizat Asistență Medicală Primară în cadrul Prestatorilor de servicii medicale din Republica Moldova, care prestează servicii medicale de asistență medicală primară precum și asistență medicală specializată de ambulator”, în continuare – Ordinul MSMPS nr.1499 din 14.12.2018.]

Astfel, misiunea de follow-up relevă că, deși odată cu aprobarea Ordinului MSMPS menționat s-a inițiat implementarea la nivel național a SIA AMP de către instituțiile medicale, din cauza unor carențe și disfuncționalități în funcționare, acesta necesită dezvoltări și îmbunătățiri în scopul asigurării performanței funcționării și conformării lui cu cerințele actuale. În context, IMSP AMT „Centru” și IMSP CMF Bălți, în perioada desfășurării activității de verificare, utilizau SIA „MedEx 2.0.” (sistem local), asigurând, prin implementarea diferitor controale, conformitatea respectării cerințelor de securitate și protecție informațională.

Generalizând rezultatele procedurilor de audit efectuate, auditul conchide că, pe parcursul perioadei 2017 – 2018, instituțiile medicale auditate au realizat un șir de acțiuni menite să asigure conformarea cu prevederile cadrului normativ aferent protecției datelor cu caracter personal, inclusiv cu eliminarea anumitor neajunsuri constatate de auditul precedent. Totodată, unele acțiuni vizate creează premisele necesare pentru asigurarea pe viitor a îmbunătățirii situației în domeniu și implementarea unor mecanisme de monitorizare și control în acest sens.

În contextul celor expuse, auditul concluzionează că, din 7 recomandări formulate și înaintate celor 3 IMSP verificate de auditul precedent, 5 (71%) recomandări au fost calificate ca fiind implementate, iar 2 (29%) – parțial implementate. În același timp, auditul constată că, odată cu implementarea SIA AMP în cadrul instituțiilor nominalizate, recomandările implementate parțial nu vor mai fi actuale/relevante, vezi Figura nr.3.

Figura nr.3. Analiza gradului de implementare a recomandărilor de către IMSP auditate,

în perioada 2017 - 2018

Sursă: Elaborat de către auditor în baza analizelor și verificărilor efectuate.

Reieșind din cele expuse, auditul atestă executarea cerinței înaintate.



2.4. Compania Națională de Asigurări în Medicină, Î.S. „CRIS „Registru””, implementarea, de comun cu Ministerul Sănătății, a recomandărilor din Raportul de audit

Au fost întreprinse măsurile necesare pentru implementarea cerinței înaintate

Efectul măsurilor întreprinse: crearea condițiilor necesare pentru funcționarea eficientă a SIA AMP, prin asigurarea schimbului de date în acest scop

Reieșind din constatările misiunii de follow-up, se atestă executarea cerinței înaintate.



2.5.Ministerului Tehnologiei Informației și Comunicațiilor, Centrului de Guvernare Electronică, pentru documentare și oferirea consultanței/asistenței corespunzătoare Ministerului Sănătății la implementarea SIA AMP

La solicitările MS nr.01-9/293 din 23.02.2017 și nr. 01-9/335 din 03.03.2017, MTIC a examinat proiectul hotărârii Guvernului cu privire la aprobarea Conceptului tehnic al SIA „Asistența Medicală Primară” și Regulamentului de funcționare al SIA „Asistența Medicală Primară”, precum și proiectul hotărârii Guvernului cu privire la aprobarea Conceptului tehnic și Regulamentului de funcționare al SIA „Asistența Medicală Spitalicească”. Drept rezultat, în adresa MS a fost remis avizul MTIC nr.01/302 din 14.03.2017. Totodată, conform solicitării MS nr.01-9/631 din 26.04.2017, MTIC a examinat proiectul hotărârii Guvernului cu privire la aprobarea Regulamentului „Sistemul Informațional Medical Integrat”. Drept rezultat, în adresa MS a fost remis avizul MTIC nr.01/579 din 17.05.2017.

Concomitent, pe marginea obiecțiilor și propunerilor expuse în cadrul avizelor MTIC, au avut loc 3 ședințe de lucru cu reprezentanții MS, în cadrul cărora a fost discutată și agreată redacția compatibilă cu prevederile legislației în vigoare în domeniul resurselor și sistemelor informaționale de stat

Efectul măsurilor întreprinse: crearea condițiilor necesare pentru reglementarea funcționării SIA AMP, prin stabilirea cadrului normativ necesar

În contextul acțiunilor realizate, auditul atestă executarea cerinței înaintate.



2.7. Guvernului Republicii Moldova, pentru întreprinderea măsurilor de rigoare în vederea:

Potrivit scrisorii Cancelariei de Stat nr.21-05-1138 din 22.02.2019:

2.7.1.asigurării punerii în concordanță a actelor legislativ-normative ale autorităților publice centrale cu Legea nr.133 din 08.07.2011

în vederea respectării angajamentului Republicii Moldova din Planul național de acțiuni pentru implementarea Acordului de Asociere Republica Moldova – Uniunea Europeană, în partea ce ține de promovarea noului cadru normativ a protecției datelor cu caracter personal, la 30.11.2018 Parlamentul a adoptat în prima lectură proiectul Legii privind protecția datelor cu caracter personal și proiectul Legii privind Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), elaborate de Ministerul Justiției în comun cu CNPDCP. În lectura a II-a, proiectele vor fi adoptate de următoarea legislatură parlamentară. Astfel, activitatea de conformare a hotărârilor de Guvern și a actelor normative ale autorităților administrației publice cu noul cadru legislativ în domeniul protecției datelor cu caracter personal urmează a fi inițiată după adoptarea legilor menționate

2.7.2.revizuirii, în comun cu Ministerul Sănătății, a cadrului legal şi ajustarea acestuia referitor la stabilirea formei organizatorico-juridice a entități care va fi responsabilă de asigurarea gestionării tuturor SI din domeniul sănătății

La 08.05.2018 a fost emisă Hotărârea Guvernului nr.414 „Cu privire la măsurile de consolidare a centrelor de date în sectorul public și de raționalizare a administrării sistemelor informaționale de stat". Aceasta are drept scop asigurarea realizării activităților din Strategia națională de dezvoltare a societății informaționale „Moldova digitală 2020" (Hotărârea Guvernului nr.857/2013), în partea ce ține de necesitatea stabilirii și delimitării clare a funcțiilor de elaborare de cele de implementare a politicii statutului în domeniul securității cibernetice, precum și de efectuare a auditării securității cibernetice.

Hotărârea Guvernului nr.414/2018 prevede o serie de măsuri și reforme instituționale, în baza infrastructurilor și instituțiilor existente. Urmare a implementării acestor măsuri, ministerele și alte autorități administrative centrale subordonate Guvernului au fost absolvite de necesitatea gestionării implementării și administrării proiectelor TI, astfel revenindu-le partea de planificare strategică a utilizării tehnologiilor moderne în sectorul corespunzător (strategiile sectoriale de e-guvernare), participarea la conceptualizarea soluțiilor/proiectelor TI și utilizarea soluțiilor implementate.

De asemenea, prin Hotărârea Guvernului nr.414/2018, Întreprinderea de Stat ,,Centrul de Telecomunicații Speciale" a fost reorganizată în Instituția publică ,,Serviciul Tehnologii Informaționale și Securitate Cibernetică" (STISC) și investită cu funcții de administrare tehnică și menținere a sistemelor informaționale de stat, inclusiv a celor din gestiunea Ministerului Sănătății, Muncii și Protecției Sociale. În acest context, noua instituție publică a preluat în posesie și administrare platforma MCloud și o extinde prin consolidarea centrelor de date existente în spațiul guvernamental, astfel asigurând o raționalizare și o aliniere a tuturor centrelor de date la cerințele de securitate și disponibilitate conform clasificării datelor și a serviciilor. În prezent, STISC, în conlucrare cu posesorii Sistemelor Informaționale de stat, asigură migrarea sistemelor în platforma MCloud, preluând administrarea tehnică a acestora și aplicând proceduri unificate de administrare, de asigurare a calității și de suport pentru utilizatori

2.7.3.examinării oportunităților și identificării metodelor de stimulare/motivare a personalului TI din cadrul instituțiilor de stat, pentru minimizarea efectului de fluctuație a acestuia, excluderea dependenței de factorii externi, precum și pentru asigurarea continuității dezvoltării durabile a domeniului TI

Potrivit Cancelariei de Stat, cadrul normativ de reglementare a modului de remunerare a personalului TI din sectorul public, concentrat în marea lui parte în cadrul instituțiilor publice de profil din subordinea ministerelor (Centrul de Tehnologii Informaționale în Finanțe) sau a Cancelariei de Stat (Agenția Servicii Publice, Agenția de Guvernare Electronică și STISC), care activează pe principiul de autogestiune, este unul suficient și permite minimizarea efectului de fluctuație a personalului instituțiilor respective, bazat pe: art.135 și art.136 alin.(4) lit.a) din Codul muncii al Republicii Moldova nr.154/2003; art.20-22 din Legea salarizării nr.847/2002; Hotărârea Guvernului nr.743/2002 ,,Cu privire la salarizarea angajaților din unitățile cu autonomie financiara"; Hotărârea Guvernului nr.165/2010 „Cu privire la cuantumul minim garantat al salariului în sectorul real"

2.2. Nivelul de implementare a recomandărilor din Raportul misiunii de audit precedente atestă insuficiența, după caz, ineficiența măsurilor întreprinse în perioada de referință de către factorii de decizie, fapt ce condiționează persistența neajunsurilor constatate anterior de Curtea de Conturi.

Pe parcursul anilor 2017 – 2018, entitățile vizate au realizat anumite acțiuni în vederea consolidării cadrului normativ aferent domeniului, precum și asigurării conformării la cerințele regulamentare corespunzătoare. Totodată, deși s-au înregistrat progrese, nu s-a reușit implementarea în deplină măsură a recomandărilor înaintate în cadrul misiunii de audit precedente. De menționat că unele acțiuni vizate creează premisele necesare pentru asigurarea pe viitor a îmbunătățirii situației în domeniu și atingerea impactului scontat, iar în cazul unor recomandări înaintate de auditul precedent, în contextul adoptării noului cadru normativ în domeniu, acestea își pot pierde actualitatea.

2.2.1. Descrierea neajunsului constatat de auditul precedent

Auditul precedent a constatat carențe în cadrul normativ aferent domeniului protecției datelor cu caracter personal, precum și neactualizarea/nearmonizarea actelor normative existente cu prevederile legale în domeniul supus auditării. Astfel, se menționează că, deși Curtea de Conturi s-a expus și anterior în Raportul său de audit asupra necesității actualizării Hotărârii Guvernului nr.1123 din 14.12.2010[footnoteRef:19], verificările auditului denotă neactualizarea acesteia. Necesitatea revizuirii Cerințelor de securitate, aprobate prin Hotărârea Guvernului menționată, rezidă și prin prisma eliminării discrepanțelor sau posibilelor interpretări ale unor clauze. Mai mult decât atât, acestea necesită a fi completate cu alte prevederi, în conformitate cu standardele internaționale relevante, precum și cu bunele practici în domeniul securității informației ce nu se regăsesc în documentul menționat (de exemplu, accesul dezvoltatorului/furnizorului la sistemele informaționale – mediul de dezvoltare, teste, producere; asigurarea disponibilității; managementul schimbării etc.). [19: Hotărârea Curții de Conturi nr.57 din 05.11.2013 „Privind Raportul auditului tehnologiilor informaționale cu elemente de performanță „Care au fost progresele reale și care sunt perspectivele automatizării proceselor în domeniul afacerilor interne?””.]

Recomandarea auditului precedent


1. CNPDCP să revizuiască și să înainteze, în modul stabilit, propunerile de rigoare, în scopul actualizării Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal

Pe parcursul perioadei de referință, în contextul executării măsurilor de ordin legislativ, prevăzute în Planul național de acțiuni pentru implementarea Acordului de Asociere Republica Moldova – Uniunea Europeană în perioada 2017-2019[footnoteRef:20], CNPDCP a elaborat și înaintat, în modul stabilit, proiecte de acte legislative[footnoteRef:21] aferente domeniului protecției datelor cu caracter personal, două dintre care (proiectul Legii privind protecția datelor cu caracter personal și proiectul Legii privind Centrul Naţional pentru Protecția Datelor cu Caracter Personal, care transpun prevederile dreptului comunitar european în materie de protecție a datelor cu caracter personal[footnoteRef:22]), au fost aprobate, în prima lectură, la sfârșitul anului 2018, în Plenul Parlamentului [20: Planul național de acțiuni pentru implementarea Acordului de Asociere Republica Moldova – Uniunea Europeană în perioada 2017-2019, aprobat prin Hotărârea Guvernului nr. 1472 din 30.12.2016.] [21: 1. proiectul Legii privind protecția datelor cu caracter personal; 2. proiectul Legii privind Centrul Naţional pentru Protecția Datelor cu Caracter Personal; 3. proiectul Legii privind regimul mijloacelor video; 4. proiectul Legii pentru modificarea şi completarea Legii privind prevenirea si combaterea criminalității informatice. ] [22: Regulamentul (UE) 2016/679 a Parlamentului European și a Consiliului din 27.04.2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE și Directivei (UE) 2016/680 ale Parlamentului European și ale Consiliului din 27.04.2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, în continuare – Regulamentul UE.]

Efectul măsurilor întreprinse: dat fiind că acțiunile întreprinse de către entitatea auditată vizează activități ulterioare, auditul a fost în imposibilitatea de a cuantifica efectul măsurilor întreprinse. Totodată, acestea creează premise pentru implementarea recomandării înaintate

Urmare a examinărilor efectuate, nu au fost identificate acțiuni de modificare a Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal[footnoteRef:23], ceea ce denotă persistența riscurilor identificate de misiunea de audit precedentă. [23: Hotărârea Guvernului nr.1123 din 14.12.2010 „Privind aprobarea Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal”.]

Potrivit motivației entității, acest fapt este condiționat de adoptarea noilor Legi specificate mai sus. În aceeași ordine de idei, se relevă că proiectul Legii privind protecția datelor cu caracter personal conține un capitol distinct[footnoteRef:24], care reglementează într-o modalitate mai simplă și mai clară implementarea măsurilor de securitate, oferind operatorilor o marjă mai mare de a decide asupra măsurilor și mijloacelor de asigurare a securității datelor, conform noilor tendințe și provocări, având în acest sens toate instrumentele legale necesare. Drept urmare, odată cu adoptarea proiectului de lege menționat vor fi operate modificările de rigoare în cadrul normativ aferent domeniului, în scopul alinierii la noile cerințe. [24: Capitolul V „Securitatea prelucrării” din proiectul Legii privind protecția datelor cu caracter personal.]

Reieșind din cele expuse, și în contextul adoptării și punerii în aplicare a Legilor nominalizate, recomandarea va putea fi considerată implementată, ori își va pierde actualitatea.


În aceeași ordine de idei, auditul precedent a identificat și alte acte normativ-legislative neajustate la Legea nr.133 din 08.07.2011, unele dintre acestea fiind prezentate în Anexa nr.5 la Raportul de audit respectiv. Mai mult decât atât, existența unor neconcordanțe între prevederile Legii nr.133 din 08.07.2011 și Legii nr.131 din 08.06.2012[footnoteRef:25] influențează într-o anumită măsură asupra procedurilor de control desfășurate de Centru, existând mai multe inadvertențe, în special, de ordin procedural, precum și al obiectului de reglementare. [25: Legea nr.131 din 08.06.2012 cu privire la controlul de stat asupra activității de întreprinzător, cu modificările și completările ulterioare.]



2. CNPDCP să examineze și să înainteze Guvernului propuneri privind ajustarea actelor normative în vigoare aferente protecției datelor cu caracter personal

Acțiunile menționate la compartimentul aferent recomandării cu nr.1, precum și:

- în comun cu experții din cadrul Proiectului Twininng[footnoteRef:26], inițierea activităților de revizuire și consolidare a cadrului normativ în domeniu, pentru a pune în aplicare pe deplin principiile de protecție a datelor în sectorul respectiv şi armonizarea acestora cu proiectul de lege privind protecția datelor şi cu legislația UE. Prin intermediul proiectului, în total, vor fi revizuite 28 de acte legislative și normative; [26: Proiectul Twinning „Consolidarea capacităților Centrului pentru Protecția Datelor cu Caracter Personal al RM”, finanțat de Uniunea Europeană și implementat în perioada octombrie 2017 - octombrie 2018 de către Fundația Germană pentru cooperare juridică Internațională (IRZ) și de Ministerul Justiției din Letonia, în continuare – Proiectul Twinning, după caz, Proiectul Twinning de consolidare a capacităților CNPDCP.]

- în temeiul prevederilor art. 32 alin. (2) al Legii nr.100 din 22.12.2017[footnoteRef:27], pe parcursul anului 2018 au fost supuse avizării de către Centru 87 de proiecte de acte normative naționale/internaționale[footnoteRef:28] sub aspectul protecției drepturilor și libertăților persoanelor fizice, în privința prelucrării datelor cu caracter personal, fiind înaintate obiecții, recomandări și propuneri de rigoare, prin prisma necesității respectării reglementărilor legale referitoare la protecția datelor cu caracter personal [27: Legea nr.100 din 22.12.2017 cu privire la actele normative, în continuare – Legea nr.100 din 22.12.2017.] [28: 13 proiecte de acorduri/tratate internaționale; 27 proiecte de acte normative ale Parlamentului; 47 proiecte de acte normative ale Guvernului şi ale altor autorități.]

Efectul măsurilor întreprinse: acțiunile realizate creează premisele necesare în vederea actualizării și armonizării cadrului normativ în domeniu, în perioada desfășurării misiunii de follow-up nefiind posibil de cuantificat/apreciat impactul acestora. Totodată, prin avizarea actelor normative naționale/internaționale, s-a asigurat conformarea acestora cerințelor cadrului normativ în domeniul protecției datelor cu caracter personal

Reieșind din cele expuse, precum și din faptul că acțiunile întreprinse urmează să producă efect în perspectivă (ulterior), în perioada desfășurării misiunii de follow-up s-a atestat implementarea recomandării vizate.

Potrivit explicațiilor CNDCP, „având în vedere că în prezent Centrul se află în proces de actualizare și armonizare a cadrului normativ național în domeniul protecției datelor cu caracter personal la noile reglementări europene din domeniu, fiind elaborate și adoptate în prima lectură de Parlamentul RM proiectul Legii privind protecția datelor cu caracter personal și proiectul de Lege privind Centrul Naţional pentru Protecția Datelor cu Caracter Personal; de asemenea sunt în deplină desfășurare activități de revizuire a cadrului normativ conex, pentru a pune în aplicare pe deplin principiile de protecție a datelor, inclusiv în sectorul medical, considerăm această recomandare/cerință irelevantă, în special în contextul în care, ulterior intrării în vigoare a prevederilor legale noi, cadrul normativ aferent va trebui ajustat noilor cerințe legale”.


Auditul precedent a relevat faptul că, în conformitate cu art.20 din Legea nr.133 din 08.07.2011, Centrului i-a fost delegată atribuția de emitere a instrucțiunilor pentru aducerea procesului de prelucrare de date cu caracter personal în conformitate cu prevederile legii, fără atingerea sferei de competență a altor organe. În context, s-a constatat că Centrul a elaborat un proiect al Instrucțiunii privind prelucrarea datelor cu caracter personal privind starea de sănătate, care are ca scop aducerea operațiunilor de prelucrare a datelor respective, efectuate de autoritățile administrației publice centrale şi locale în domeniul sănătății şi instituțiile medico-sanitare publice și private din Republica Moldova în conformitate cu principiile de protecție a datelor cu caracter personal.



3. CNPDCP să asigure definitivarea și aprobarea în modul stabilit a Instrucțiunii cu privire la protecția datelor cu caracter personal în domeniul medical, cu promovarea/informarea/instruirea ulterioară a operatorilor de date cu caracter personal

Planificarea elaborării, începând cu luna decembrie 2018, în cadrul Proiectului Twinning de consolidare a capacităților CNPDCP a 7 instrucțiuni în sfera finanțe, mass-media, supravegherea video, comunicațiile electronice, aplicarea legii procesului electoral și sănătate/domeniul medical

Efectul măsurilor întreprinse: nu a fost posibil de identificat. Totodată, lipsa unor instrucțiuni în domeniul protecției datelor privind starea de sănătate, influențează asupra realizării scopului preconizat

Ca rezultat al examinărilor efectuate, se denotă că, deși potrivit Planului de acțiuni privind implementarea recomandărilor de audit ale Curții de Conturi, CNPDCP și-a planificat, până în trimestrul I al anului 2018, definitivarea, aprobarea și promovarea instrucțiunii nominalizate, în perioada desfășurării misiunii de follow-up acțiunea nu a fost realizată. Totodată, s-a constatat planificarea acțiunii respective pentru realizare cu suportul experților din cadrul Proiectului Twinning.

Astfel, potrivit motivației entității, conform Proiectului Twinning, activitățile/acțiunile din cadrul căruia au suportat în ultima perioadă modificări având în vedere prioritizarea acestora, Instrucțiunea cu privire la protecția datelor cu caracter personal în domeniul medical, de rând cu alte instrucțiuni preconizate, va fi elaborată în lunile mai-iunie ale anului 2019.

Reieșind din cele expuse, auditul atestă implementarea parțială a recomandării înaintate.


După cum s-a menționat anterior (la cerința nr.2.1.2 din Hotărârea Curții de Conturi nr.48 din 05.12.2016), carențele și disfuncționalitățile, inclusiv tehnice, ale SIA REODCP deținut de Centru afectează în mod direct eficiența și eficacitatea Registrului, cu impact și asupra eficienței activității CNPDCP, solicitând intervenții și dezvoltări în scopul asigurării atingerii scopului stabilit.



4. CNPDCP să realizeze o evaluare a necesităților de dezvoltare a SIA „Registrul de evidență a operatorilor de date cu caracter personal”, în scopul eficientizării acestuia și optimizării activității

· au fost identificate necesitățile de dezvoltare a SIA menționat, fiind înaintată Ministerului Finanțelor argumentarea privind cheltuielile necesare în acest sens, care au fost acceptate şi incluse în bugetul CNPDCP pentru anul 2018;

· planificarea realizării pe parcursul anului 2018 a unui studiu de fezabilitate al SI

Efectul măsurilor întreprinse: identificarea și planificarea resurselor pentru îmbunătățirea SIA REODCP, care, însă, nu au fost realizate pe parcursul perioadei de referință, fapt ce denotă persistența neajunsurilor constatate de auditul precedent

Verificările prezentei misiuni denotă că, deși au fost planificate anumite acțiuni, precum și inițiate unele analize, pe parcursul perioadei de referință n a fost realizat un studiu exhaustiv privind necesitățile de dezvoltare/îmbunătățire a SIA nominalizat, nici operate modificări/dezvoltări la acesta.

Potrivit motivației entității, după cum s-a menționat și la cerința nr.2.1.2., odată cu adoptarea noii Legi privind protecția datelor cu caracter personal, va fi exclusă obligativitatea operatorilor de date cu caracter personal de a se înregistra la Centru în calitate de operator de date cu caracter personal, în formula aplicabilă în prezent – prin intermediul REODCP, operatorii fiind obligați, pe propria răspundere, să respecte normele de securitate a datelor cu caracter personal, stabilite individual în funcție de specificul operațiunilor de prelucrare și categoria datelor prelucrate, modificare care are scop de a transpune principiul responsabilizării operatorului de date cu caracter personal.

Mai mult decât atât, acest fapt este susținut și prin concluziile experților proiectului Twinning expuse urmare a analizei legislației privind protecția datelor cu caracter personal coroborat la prevederile Regulamentului european privind protecția datelor (GDPR). În acest context, în opinia entității, decade necesitatea dezvoltării în continuare a SIA REODCP.

Reieșind din cele expuse, auditul califică implementarea parțială a recomandării. Totodată, în contextul adoptării modificărilor ulterioare în cadrul legislativ respectiv, recomandarea devine irelevantă.


În conformitate cu prevederile cadrului normativ-legislativ[footnoteRef:29], Centrului îi sunt oferite principalele instrumente legislative în vederea asigurării unei monitorizări adecvate a respectării legislației privind protecția datelor cu caracter personal de către operatorii de date cu caracter personal, respectiv, de persoanele împuternicite de aceștia. Totodată, în contextul Legii nr.229 din 23.09.2010[footnoteRef:30], precum și în contextul implementării Standardelor naționale de control intern[footnoteRef:31], una din cerințe vizează descrierea (narativă și/sau schematică) a proceselor operaționale ale instituției. O astfel de descriere ar ajuta entitatea să identifice rezervele de îmbunătățire a proceselor și procedurilor interne, precum și o mai bună gestionare a riscurilor la nivelul entității. Constatările auditului precedent denotă că entitatea nu dispunea de proceduri exhaustive și documente aferente procesului de monitorizare a prelucrării datelor cu caracter personal, în vederea stabilirii potențialilor operatori de date, a sistemelor de evidență a datelor cu caracter personal, inclusiv a SIA ce prelucrează date cu caracter personal. [29: Hotărârea Guvernului nr.1123 din 14.12.2010; Hotărârea Guvernului nr.296 din 15.05.2012 „Privind aprobarea Regulamentului Registrului de evidență a operatorilor de date cu caracter personal” (în continuare – Hotărârea Guvernului nr. 296 din 15.05.2012); Ordinul Directorului CNPDCP nr.14 din 12.05.2014 „Cu privire la aprobarea Regulamentului privind controlul legalității prelucrărilor de date cu caracter personal” (în continuare – Regulamentul).] [30: Legea nr.229 din 23.09.2010 privind controlul financiar public intern (în continuare – Legea nr.229 din 23.09.2010).] [31: Ordinul ministrului Finanțelor nr.182 din 05.11.2015 „Cu privire la aprobarea Standardelor naționale de control intern în sectorul public”.]



5. CNPDCP să instituie proceduri adecvate privind monitorizarea prelucrării datelor cu caracter personal

În vederea implementării proiectelor de legi menționate supra, CNPDCP, împreună cu experții rezidenți din cadrul proiectului Twinning, a inițiat elaborarea cadrului său normativ intern, inclusiv a instrucțiunilor/manualelor privind desfășurarea procedurilor de investigație a legalității operațiunilor de prelucrare a datelor cu caracter personal, precum și a celor de supraveghere, monitorizare și prevenire a încălcării principiilor de protecție a datelor cu caracter personal

Efectul măsurilor întreprinse: măsurile întreprinse creează anumite premise/condiții pentru îmbunătățirea modului de monitorizare/supraveghere a conformității prelucrării datelor, însă, la momentul desfășurării misiunii de verificare, impactul acțiunilor nu poate fi cuantificat

Verificările misiunii de follow-up atestă că, pe parcursul perioadei de referință, au fost inițiate anumite acțiuni de consolidare a cadrului normativ intern aferent activității CNPDCP, inclusiv prin elaborarea de către experții Twinning a unor proiecte de documente, fapt ce denotă implementarea parțială a recomandării înaintate de Curte.


Conform art.23 din Legea nr.133 din 08.07.2011, operatorii de date cu caracter personal sunt obligați să notifice CNPDCP, înainte de prelucrarea datelor cu caracter personal destinate să servească unui scop. Constatările auditului precedent relevă că, deși pe pagina web a Centrului este disponibil Manualul de utilizare pentru operatorii de date în Registru[footnoteRef:32], în scopul facilitării, precum și asigurării completării corecte a formularului de notificare de către operatorul de date, sunt necesare proceduri documentate, aprobate în modul stabilit, care pot lua forma unui Ghid sau Regulament, potrivit bunelor practici ale autorităților similare din alte țări. Mai mult decât atât, este necesar a fi stabilite clar condițiile notificării, inclusiv documentele obligatorii pentru a fi prezentate de către entitate Centrului în vederea notificării/înregistrării, în scopul evitării riscurilor de tratare neunivocă a operatorilor de date de către registrator. [32: https://registru.datepersonale.md/documents/10192/0/Manual%20Operator%20date%20RODCAP_3.0.pdf]



6. CNPDCP să elaboreze instrucțiuni clare și exhaustive privind modalitatea notificării de către operatorii de date cu caracter personal a SI către Centru, în scopul facilitării înțelegerii procesului de completare a formularelor de notificare, a altor proceduri adiționale înregistrării în calitate de operator de date

· CNPDCP a elaborat Ghidul privind procedura de înregistrare a operatorilor și a sistemelor de evidență a datelor cu caracter personal, aprobat prin Ordinul Directorului CNPDCP nr.18 din 15.06.2018, care concretizează acțiunile ce urmează să fie efectuate în vederea asigurării realizării obligațiunilor stabilite de art. 23 al Legii privind protecția datelor cu caracter personal, care a fost publicat pe pagina oficială a CNPDCP[footnoteRef:33]; [33: http://datepersonale.md/md/cen/]

· de asemenea, au fost făcute modificări primare pe pagina oficială a CNPDCP, în partea ce vizează procedura de înregistrare a operatorilor și a sistemelor de evidență a datelor cu caracter personal

Efectul măsurilor întreprinse: crearea anumitor condiții care facilitează procesul de înțelegere/notificare de către operatorii de date cu caracter personal

Analizele efectuate în cadrul misiunii de verificare relevă că, deși au fost realizate anumite acțiuni pentru facilitarea procesului de notificare, acestea nu au luat forma unor proceduri documentate, aprobate în modul stabilit, potrivit bunelor practici ale autorităților similare din alte țări. De menționat că, potrivit cadrului normativ aferent elaborării actelor normative[footnoteRef:34], Regulamentele, instrucțiunile, regulile şi alte acte normative ale autorităților administrației publice centrale de specialitate şi ale autorităților publice autonome se aprobă prin hotărâre sau ordin care se semnează de către conducătorii autorităților emitente. [34: Art.16 din Legea nr.100 din 22.12.2017.]

Potrivit motivației entității, în conformitate cu reglementările dreptului comunitar european în materie de protecție a datelor cu caracter personal, în special Regulamentul (UE) 2016/679, prin noul proiect de Lege a fost exclusă obligația operatorilor de a notifica sistemele de evidență a datelor personale către CNPDCP, prin intermediul Registrului de evidență a operatorilor de date cu caracter personal. În aceste circumstanțe, dispare necesitatea elaborării altor instrucțiuni sau actualizării celor existente, precum şi promovării acestora, în contextul prevăzut la această recomandare.

Reieșind din cele expuse, auditul atestă implementarea recomandării în cauză.


Constatările auditului precedent denotă că, contrar prevederilor cadrului normativ-legislativ relevant[footnoteRef:35], inclusiv ale Regulamentului privind controlul legalității prelucrărilor de date cu caracter personal, pentru exercitarea atribuțiilor sale de efectuare a controlului legalității/conformității prelucrării datelor cu caracter personal, în perioada 2014-2016, Centrul nu a planificat controale asupra prelucrării datelor cu caracter personal, activitatea de control axându-se prioritar pe efectuarea controalelor inopinate (în baza autosesizărilor sau petițiilor/sesizărilor). [35: Art.26 din Legea nr.133 din 08.07.2011 privind protecția datelor cu caracter personal (în continuare – Legea nr.133 din 08.07.2011).]



7. CNPDCP să planifice și să asigure realizarea, în modul stabilit, a controalelor conformității prelucrării datelor cu caracter personal, în scopul asigurării atribuțiilor prioritare delegate prin Legea organică

inițierea și realizarea controalelor, a sarcinilor atribuite de lege în perioada de referință a fost efectuată exclusiv în temeiul plângerilor subiecților de date, prin solicitarea de informații din oficiu, fără a efectua controlul la fața locului

Efectul măsurilor întreprinse: neplanificarea controalelor asupra conformității prelucrării datelor cu caracter personal, în modul stabilit de cadrul normativ, determină nerealizarea conformă a atribuțiilor privind verificarea corespunderii cu cerințele și îndeplinirii condițiilor legale de către operator sau persoana împuternicită de către acesta

Verificările misiunii de follow-up, inclusiv analiza informațiilor oferite de Centru, relevă că până în prezent nu au fost întreprinse acțiuni concrete pentru conformarea entității la prevederile legale menționate. Astfel, se constată că și pe parcursul perioadei de referință activitatea de control a Centrului s-a axat prioritar pe efectuarea controalelor inopinate.

Potrivit motivației entității, „creșterea numărului de plângeri transmise în adresa CNPDCP, precum și complexitatea acțiunilor întreprinse de angajați în cadrul activității de control asupra conformității prelucrării datelor cu caracter personal nu permite efectuarea controalelor planificate”. Totodată, în cadrul proiectului Twinning, cu suportul experților străini, au fost elaborate proiecte de acte normative, manuale privind procedura de prevenire/supraveghere și monitorizare, care au drept obiectiv de a stabili o procedură standard pentru angajații CNPDCP privind monitorizarea/supravegherea operațiunilor de prelucrare a datelor și prevenirea încălcării principiilor de protecție a datelor cu caracter personal. În aceeași ordine de idei, proiectul noii Legi privind protecția datelor cu caracter personal prevede competențele CNPDCP de a investiga și soluționa cazurile de încălcare ale dispozițiilor normative în domeniul protecției datelor personale, cu sau fără ieșirea la fața locului, în anumite situații[footnoteRef:36]. [36: a) la depunerea cererii subiectului de date sau a reprezentantului legal privind neconformitatea prelucrării datelor personale; b) la sesizarea din oficiu sau în cazul în care Centrul a fost informat ori dispune de informații privind încălcarea în masă, sistemică sau gravă a principiilor de protecție a datelor cu caracter personal, cazurile de importanță socială ori în cazurile de supraveghere și prevenire va iniția activitățile de ajustare/consolidare a procedurilor aferente activității.]

Reieșind din cele constatate, la momentul desfășurării misiunii de follow-up se atestă neimplementarea recomandării menționate.


Verificările auditului precedent relevă că, în contextul extinderii automatizării proceselor de business ale entităților publi

· web viewproiect de lege votat la 30.11.2018 în prima lectură în plenul parlamentului, care...

Documents