Anexă
la Hotărârea Curții de Conturi
nr.15 din 27 martie 2019
CURTEA DE CONTURI A REPUBLICII MOLDOVA
MD-2001, mun. Chișinău, bd. Ştefan cel Mare și Sfânt nr.69,
tel.: (+373) 22 23 25 79, fax: (+373) 22 23 30 20, www.ccrm.md;
e-mail: [email protected]
RAPORTUL
misiunii de follow-up al auditului TI „Cum se asigură protecția
datelor cu caracter personal în domeniul asistenței medicale
primare, prelucrate în cadrul sistemelor informaționale
automatizate?”
(Hotărârea Curții de Conturi nr.48 din 05 decembrie 2016)
Chișinău, 2019
47
CUPRINSLISTA ACRONIMELOR1GLOSAR2SINTEZA3INTRODUCERE4SFERA ȘI
ABORDAREA misiunii de follow-up5I.CONSTATĂRI71.1.Măsurile
întreprinse pentru executarea cerințelor expuse în Hotărârea Curții
de Conturi nu au asigurat în deplină măsură eliminarea
neajunsurilor constatate de auditul precedent72.2. Nivelul de
implementare a recomandărilor din Raportul misiunii de audit
precedente atestă insuficiența, după caz, ineficiența măsurilor
întreprinse în perioada de referință de către factorii de decizie,
fapt ce condiționează persistența neajunsurilor constatate anterior
de Curtea de Conturi14II.CONCLUZII
GENERALE42III.RECOMANDĂRI43IV.Echipa de audit a Curții de
Conturi45ANEXE........................................................................................................................................................46Anexa
nr.1. Structura cadrului instituțional aferent AMP46Anexa nr.2.
Analiza corectitudinii datelor generate din SIA AMP în perioada
decembrie 2018 – ianuarie 201947Anexa nr.3. Interconexiunea SIA AMP
cu alte SI și registre de stat48Anexa nr.4. Analiza nivelului de
implementare a recomandărilor și executare a cerințelor de către
entitățile vizate în Hotărârea Curții de Conturi nr.48 din
05.12.201649
LISTA ACRONIMELOR
AMP
Asistența medicală primară
AMT
Asociația Medicală Teritorială
BCP
Business Continuity Plan (Plan de continuitate în afaceri)
BM
Banca Mondială
CNAM
Compania Națională de Asigurări în Medicină
CC
Curtea de Conturi
CGE
Centrul de Guvernare Electronică
COI
Common Object Interface (Interfață comună a obiectelor)
CMF
Centrul Medicilor de Familie
CNF
Cerințe nonfuncționale
CNPDCP
Centrul Național pentru Protecția Datelor cu Caracter
Personal
CR
Consiliul Raional
CS
Centrul de Sănătate
DRP
Disaster Recovery Plan (Plan de recuperare în caz de
dezastru)
IaaS
Infrastructura ca serviciu
ID
Nume de utilizator/identificator de utilizator
IMSP
Instituție medico-sanitară publică
ISA
Instituția Supremă de Audit
Î.S. „CRIS „Registru””
Întreprinderea de Stat „Centrul Resurselor Informaționale de
Stat „Registru””
M-Cloud
Platforma tehnologică comună a Guvernului Republicii Moldova ce
se implementează pe baza tehnologiei Cloud Computing
MPass
Serviciul electronic guvernamental de autentificare şi control
al accesului (MPass)
MS
Ministerul Sănătății, începând cu anul 2017, după reforma APC,
MSMPS
MTIC
Ministerul Tehnologiei Informației și Comunicațiilor
OMF
Oficiul Medicilor de Familie
OS
Oficiul de Sănătate
REODCP
Registrul de evidență al operatorilor de date cu caracter
personal
RM
Republica Moldova
RRSIS
Registrul resurselor şi sistemelor informaționale de stat
RSP
Registrul de Stat al Populației
SIA AMP
Sistemul Informațional Automatizat pentru Asistența Medicală
Primară
SIA
Sistemul Informațional Automatizat
SI
Sistemul Informațional
SIIS
Sistemul Informațional Integrat în Sănătate
ÎS STISC
Întreprinderea de Stat Serviciul Tehnologia Informației și
Securitate Cibernetică
TI
Tehnologii Informaționale
TIC
Tehnologii Informaționale şi Comunicații
UE
Uniunea Europeană
VPN
Rețea virtuală privată (Virtual Private Network)
GLOSAR
Acceptanță
acord formal ca un serviciu TI, proces sau alte livrabile să fie
complete, corecte, de încredere și să satisfacă cerințele
specificate
Administrator global
persoană cu studii în domeniul TI, care cunoaște noțiunile
medicale, din cadrul MS (echipei tehnice de implementare),
responsabilă de gestionarea, auditul, monitorizarea corespunderii
informației, modificarea, anularea și operarea resurselor SI pentru
folosirea acestora de către alți utilizatori
Administrator local
persoană din cadrul instituției medicale, responsabilă de
gestionarea, auditul utilizatorilor și operarea drepturilor de
acces pentru folosirea de către alți utilizatori a resurselor
SI
Autentificare
verificarea identificatorului atribuit subiectului de acces,
confirmarea autenticității
Bază de date
totalitate de date, organizate conform unei structuri
conceptuale, ce descriu caracteristicile principale şi raporturile
dintre esențe, destinată unui domeniu sau mai multor domenii de
aplicare
Back-up/
copii de rezervă
copierea datelor pentru a fi protejate împotriva pierderii sau
distrugerii integrității ori disponibilității originalului
Cerință/
recomandare
executată/
implementată
informațiile prezentate de către entitatea auditată/alte organe
și instituții vizate în dispozitivul hotărârii care atestă faptul
că au fost întreprinse măsurile necesare în vederea realizării
recomandării/cerinței înaintate, fiind eliminate neajunsurile
constatate de auditul precedent
Cerință/recomandare parțial executată/
implementată
informațiile prezentate de către entitate nu sunt complete, fie
măsurile întreprinse nu sunt suficiente, fiind doar inițiate unele
proceduri, acțiuni, neajunsurile și carențele constatate de auditul
precedent persistând și în perioada supusă verificării
Cerință/recomandare neexecutată/
neimplementată
entitatea nu a întreprins măsurile necesare, fie nu a prezentat
nicio informație care ar atesta întreprinderea unor măsuri în
vederea conformării la cerințele și/sau recomandările înaintate,
sau acțiunile întreprinse nu sunt adecvate
Ciclu de viață
diferite stadii din viața unui Serviciu TI, unui element de
configurație, incident, unei probleme, schimbări etc. Ciclul de
viață definește categoriile pentru starea și tranzițiile stării
care sunt permise
Controale TI
activități specifice desfășurate de persoane sau sisteme
concepute pentru a se asigura că obiectivele de afaceri sunt
îndeplinite. Acestea sunt un subset de controale interne ale unei
întreprinderi. Controalele TI se referă la confidențialitatea,
integritatea şi disponibilitatea datelor, precum şi la gestionarea
generală a funcției TI ale întreprinderii
Date cu caracter personal
orice informație referitoare la o persoană fizică identificată
sau identificabilă (subiect al datelor cu caracter personal).
Persoana identificabilă este persoana care poate fi identificată,
direct sau indirect, prin referire la un număr de identificare sau
la unul ori mai multe elemente specifice identității sale fizice,
fiziologice, psihice, economice, culturale sau sociale
Dezvoltare
proces responsabil de crearea sau modificarea unui serviciu TI
ori a unei aplicații. De asemenea, este folosit pentru a se referi
la un rol sau la un grup care îndeplinește o muncă de
dezvoltare
Externalizare a serviciilor TI
serviciu furnizat unuia sau mai multor clienți/beneficiari de
către un furnizor de servicii TI. Un serviciu TI se bazează pe
folosirea TIC și este alcătuit dintr-o combinație de persoane,
procese și tehnologii și ar trebui să fie definit într-un Acord de
nivel serviciu agreat/SLA exhaustiv
Help Desk
punctul unic de contact între furnizorul de servicii și
utilizatori. Un Help Desk/Service Desk tipic administrează
incidentele şi cerințele de servicii și, de asemenea, gestionează
comunicarea cu utilizatorii
Misiune de follow-up
acțiune privind verificarea și evaluarea nivelului de
implementare a cerințelor și recomandărilor de audit dispuse
printr-o Hotărâre a Curții de Conturi
Mentenanță
ansamblu de activități tehnico-organizatorice care au drept scop
asigurarea funcționării sistemului la un nivel agreat de
disponibilitate. Prin activități se pot înțelege atât operațiile de
întreținere a componentelor sistemului informatic, cât şi de creare
de procese, funcționalități noi destinate să asigure funcționarea
normală sau dezvoltarea sistemului
Modul/e
SIA AMP este conceput într-un mod modular, facilitând integrarea
ușoară și dezvoltarea de noi funcționalități, extinderea modulelor
și interacțiunea de funcționalități generice
Operator de date cu caracter personal
persoana fizică sau persoana juridică de drept public sau de
drept privat, inclusiv autoritatea publică, orice altă instituție
ori organizație care, în mod individual sau împreună cu altele,
stabileşte scopurile şi mijloacele de prelucrare a datelor cu
caracter personal, prevăzute în mod expres de legislația în
vigoare
Sistem informațional
totalitate de resurse şi tehnologii informaţionale
interdependente, de metode şi de personal, destinată păstrării,
prelucrării şi furnizării de informaţie
Tehnologia informației (TI)
folosirea tehnologiei pentru stocarea, comunicarea și procesarea
informației. În mod tipic, tehnologia include calculatoare,
telecomunicații, aplicații și alte software-uri. Informația poate
include date ale afacerii, voce, imagini, video etc. Tehnologia
informației este adesea folosită pentru a sprijini procesele
afacerii/de business prin intermediul serviciilor TI
Utilizator
persoană care acționează sub autoritatea deținătorului de date
cu caracter personal, cu drept recunoscut de acces la sistemele
informaționale de date cu caracter personal
SINTEZA
Rezultatele misiunii de verificare relevă că, deși au fost
întreprinse unele măsuri rezultative, acestea nu au asigurat în
măsură deplină executarea cerințelor și implementarea
recomandărilor înaintate, astfel atestându-se un nivel relativ
redus de executare a cerințelor și implementare a recomandărilor
înaintate de auditul precedent. Acest fapt denotă persistența unor
probleme identificate de auditul precedent și în perioada supusă
verificării (2017-2018), cu sporirea gradului de materializare a
riscurilor aferente. Totodată, se relevă anumite progrese în
aspecte de reglementare și consolidare a controalelor aferente SIA
ce prelucrează date din domeniul asistenței medicale primare (AMP).
Reieșind din cele expuse, se relevă că, din totalul de 45 de
cerințe și recomandări de audit formulate și înaintate prin
Hotărârea Curții de Conturi nr.48 din 05.12.2016[footnoteRef:1] (10
cerințe din Hotărârea Curții de Conturi și 35 de recomandări din
Raportul de audit), au fost implementate/executate integral 15
cerințe și recomandări, parțial implementate – 26, și
neimplementate /neexecutate – 4 cerințe și recomandări. O analiză
mai în detaliu a nivelului de implementare/executare a
recomandărilor și cerințelor înaintate prin Hotărârea nominalizată
se prezintă în Anexa nr.4 la prezentul Raport. [1: Hotărârea Curții
de Conturi nr.48 din 05.12.2016 „Cu privire la Raportul de audit TI
„Cum se asigură protecția datelor cu caracter personal în domeniul
asistenței medicale primare, prelucrate în cadrul sistemelor
informaționale automatizate?”, în continuare – Hotărârea Curții de
Conturi nr.48 din 05.12.2016.]
De menționat că, printre cauzele ce au generat gradul relativ
redus de implementare a recomandărilor, se pot evidenția:
capacitățile instituționale insuficiente ale instituțiilor
auditate, inclusiv în domeniul managementului proiectelor și
tehnologiilor informaționale, precum și neasigurarea memoriei
instituționale, în contextul fluctuației frecvente a personalului;
modificările în cadrul normativ și instituțional, procesul
îndelungat de legiferare a actelor normative etc.
Cele reflectate în constatările de audit indică asupra unei
serii de aspecte importante, care necesită intervenții stringente,
în acest sens fiind înaintate un șir de recomandări pentru
remedierea neconformităților și îmbunătățirea activității în
domeniile auditate.
În context, identificarea și asigurarea realizării soluțiilor și
condițiilor optime ce ar contribui la consolidarea cadrului
instituțional și procedural aferent domeniului, precum și protecția
adecvată a datelor personale constituie o premisă necesară pentru
atingerea scopului scontat în aspectul conformării procedurilor și
cerințelor de protecție a datelor cu caracter personal.
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
INTRODUCERE
Curtea de Conturi, fiind motivată de importanța/relevanța
modului de asigurare a protecției datelor cu caracter personal,
prelucrate în cadrul sistemelor informaționale, în calitate de
Instituție Supremă de Audit, membră a grupului de lucru EUROSAI
privind auditul tehnologiilor informaționale (TI), a participat, în
anul 2016, la misiunea de audit paralel în domeniul respectiv,
realizată în comun cu alte 3 Instituții Supreme de Audit (din
Belgia, Malta și Lituania).
Auditul efectuat de Curtea de Conturi s-a axat pe evaluarea
nivelului de protecție și supraveghere a datelor cu caracter
personal din domeniul medicinei primare, prelucrate în mod
automatizat, inclusiv pe verificarea dacă:
-cadrul normativ-legislativ este adecvat pentru asigurarea
protecției datelor cu caracter personal, îndeosebi a celor privind
starea de sănătate, și corespunde legislației europene în
domeniu;
-CNPDCP, în calitate de autoritate națională de supraveghere a
protecției datelor cu caracter personal, dispune de
instrumente/pârghii suficiente și adecvate pentru monitorizarea
prelucrării datelor cu caracter personal (privind starea de
sănătate) și le aplică în mod corespunzător;
-Ministerul Sănătății și instituțiile medicale ce prestează
servicii medicale primare dispun de controale generale adecvate și
suficiente pentru a proteja datele cu caracter personal, în special
datele privind starea de sănătate, la prelucrarea acestora în
sistemele informaționale automatizate.
Rezultatele auditului, aprobate prin Hotărârea Curții de Conturi
nr.48 din 05.12.2016, au relevat că, per ansamblu, cu unele rezerve
de îmbunătățire, sunt asigurate condițiile necesare protecției
datelor cu caracter personal, în conformitate cu cerințele UE,
inclusiv din domeniul asistenței medicale primare, prin instituirea
unui cadru normativ-legislativ relevant, a unei autorități
naționale responsabile de monitorizarea și controlul prelucrării
datelor cu caracter personal etc. Totodată, auditul a constatat
unele probleme, vulnerabilități și deficiențe majore, precum și
alți factori care pot afecta protecția datelor cu caracter
personal, inclusiv din domeniul medicinei primare, prelucrate în
cadrul SIA atât la nivel național (prin implementarea Sistemului
Informațional Automatizat „Asistență Medicală Primară”, vezi Anexa
nr.1 și Anexa nr.3 la prezentul Raport), cât și la nivelul
instituțiilor medicale care prestează servicii de asistență
medicală primară. Acestea sunt generate de delegarea inechitabilă a
responsabilităților/atribuțiilor în raport cu capacitățile
disponibile (resurse umane, financiare etc.) ale instituțiilor
responsabile vizate în Raportul auditului precedent. De rând cu
acestea, lipsa unei viziuni strategice/decizii unice în domeniul
automatizării asistenței medicale primare, a unui control adecvat
din partea entităților responsabile în acest sens, precum și
nedelimitarea clară a responsabilităților/competențelor în cadrul
sistemului de asistență medicală primară (MS, APL/CR) au generat
dezvoltarea și utilizarea individuală la nivelul IMSP a SI pentru
automatizarea proceselor în domeniu, condiționând costuri
financiare pentru dezvoltarea/achiziționarea, administrarea și
asigurarea mentenanței acestora și riscuri majore privind protecția
datelor și securitatea informației respective.
În acest context, se necesită consolidarea cadrului normativ
relevant domeniului, a capacităților instituționale ale CNPDCP, MS
(pentru gestiunea ulterioară a SIA AMP, sistem prevăzut a fi
implementat conform Acordului de Asociere Republica Moldova –
Uniunea Europeană), și ale IMSP ce prestează servicii de asistență
medicală primară, precum și responsabilizarea autorităților în
vederea implementării/respectării cerințelor de securitate a
datelor cu caracter personal la prelucrarea acestora în SI. La fel,
asigurarea unei conlucrări eficiente între factorii implicați în
domeniul aferent tematicii auditului, cu întreprinderea măsurilor
necesare pentru implementarea recomandărilor înaintate de audit, în
vederea înlăturării neajunsurilor elucidate în prezentul Raport vor
conduce la realizarea scopurilor propuse (implicit, în aspectul
protecției datelor speciale cu caracter personal).
În scopul remedierii neajunsurilor, disfuncționalităților,
precum și redresării situației atestate, Curtea de Conturi, prin
Hotărârea nr.48 din 05.12.2016, a înaintat autorităților
responsabile (CNPDCP, MS, CNAM, IMSP auditate, precum și altor
organe responsabile) 10 cerințe, dintre care 5 vizează
implementarea recomandărilor din Raportul de audit, precum și 35 de
recomandări expuse în Raportul de audit anexat la Hotărârea Curții
de Conturi sus-menționată.
Prezenta misiune de follow-up a fost planificată și realizată în
temeiul prevederilor Legii nr.260 din 07.12.2017[footnoteRef:2],
Programelor activității de audit a Curții de Conturi pe anii
2018[footnoteRef:3] și, respectiv, 2019[footnoteRef:4] și în
conformitate cu Standardele Internaționale de Audit relevante, puse
în aplicare de Curtea de Conturi[footnoteRef:5], Manualul de audit
TI al Curții[footnoteRef:6] și bunele practici în domeniul
auditului TI[footnoteRef:7], în scopul evaluării nivelului de
conformare a entităților vizate în dispozitivul Hotărârii
respective, cu cuantificarea acțiunilor întreprinse și
identificarea impedimentelor, factorilor subiectivi și obiectivi
care au condiționat neexecutarea cerințelor și neimplementarea
recomandărilor înaintate. [2: Legea nr.260 din 07.12.2017 privind
organizarea și funcționarea Curții de Conturi a Republicii Moldova,
cu modificările și completările ulterioare, în continuare – Legea
nr.260 din 07.12.2017.] [3: Hotărârea Curții de Conturi nr.75 din
29.12.2017 „Cu privire la aprobarea Programului activității de
audit a Curții de Conturi pe anul 2018”, cu modificările și
completările ulterioare.] [4: Hotărârea Curții de Conturi nr.100
din 21.12.2018 „Cu privire la aprobarea Programului activității de
audit a Curții de Conturi pe anul 2019”, cu modificările și
completările ulterioare.] [5: ISSAI 100 „Principiile fundamentale
ale auditului sectorului public”, ISSAI 400 „Principiile
fundamentale ale auditului de conformitate”, ISSAI 5300 „Linii
directorii privind auditul TI” și ISSAI 5310 „Metodologia de
revizuire a Sistemelor de securitate informațională – Ghidul
privind revizuirea sistemelor de securitate informațională în
autoritățile publice”, puse în aplicare prin Hotărârile Curții de
Conturi nr.60 din 10.12.2013 și, respectiv, nr.7 din 10.03.2014. ]
[6: Manualul de audit al tehnologiilor informaționale, aprobat prin
Hotărârea Curții de Conturi nr.69 din 30.12.2010.] [7: COBIT 4.1.–
Cadrul de referință, Obiectivele controlului, Ghiduri pentru
management, Modele de maturitate (în continuare – COBIT 4.1.).
]
SFERA ȘI ABORDAREA AUDITULUI
Pornind de la premisa că auditul follow-up reprezintă o etapă
importantă a auditului publici extern, obiectivul general al
misiunii de audit a constat în evaluarea caracterului adecvat și a
oportunității acțiunilor întreprinse de autoritățile vizate pentru
executarea cerințelor și implementarea recomandărilor înaintate de
auditul precedent, stabilind dacă entitatea auditată a abordat
problemele în mod adecvat, iar acțiunile corective au remediat
situația/neajunsurile constatate. Astfel, în vederea realizării
obiectivului general, prezentul audit și-a propus următoarele
obiective specifice:
· factorii de decizie responsabili au întreprins măsurile
necesare în vederea conformării la cerințele și recomandările
înaintate de auditul precedent?
· măsurile întreprinse în vederea implementării cerințelor și
recomandărilor de audit au avut un efect pozitiv, eliminând
neajunsurile constatate de auditul precedent?
Sfera misiunii de follow-up a constituit acțiunile întreprinse
de către entitățile vizate în Hotărârea Curții de Conturi nr.48 din
05.12.2016 în perioada 2017-2018 (în continuare – perioada de
referință), și anume la: CNPDCP, MS, IMSP AMT „Centru”, IMSP CMF
Bălți, IMSP Clinica Universitară de Asistenţă Medicală Primară a
USMF „Nicolae Testemiţanu" (în continuare – IMSP „Clinica
Universitară de AMP”), suplimentar fiind colectate probe de audit
de la unele IMSP ce prestează servicii de asistență medicală
primară (AMT „Botanica”, AMT „Buiucani”, AMT „Râșcani”, AMT
„Ciocana”, Centrele de Sănătate Orhei, Călărași, Cimișlia, Spitalul
Raional Orhei).
Reieșind din specificul acțiunii de follow-up, precum și ținând
cont de obiectivele de audit prestabilite, a fost selectată o
abordare de audit combinată (pe probleme și pe rezultate), prin
determinarea progreselor înregistrate, precum și identificarea
riscurilor şi limitărilor, a eventualelor metode de ameliorare a
situației pentru eficientizarea activității instituțiilor din
domeniu. De menționat că, la evaluarea nivelului de conformare a
entității cu cerințele și recomandările înaintate de Curte, au fost
examinate acțiunile planificate de MS[footnoteRef:8] și cele
efectiv întreprinse, precum și efectele/rezultatele obținute în
acest sens. [8: Planul de acțiuni privind implementarea
recomandărilor Curții de Conturi expuse în Raportul auditului TI
privind protecția datelor cu caracter personal prelucrate în SI din
domeniul asistenței medicale primare, elaborat și aprobat de MS în
decembrie 2016.]
În calitate de criterii de audit au servit
carențele/deficiențele constatate de auditul precedent, precum și
pe cerințele/recomandările înaintate în acest sens.
În scopul acumulării unor probe de audit suficiente și
relevante, au fost realizate principalele proceduri de audit,
precum: contrapunerea informațiilor prezentate de către entitățile
vizate, observarea directă, examinarea documentelor, aplicarea
interviurilor şi a chestionarelor. În cadrul misiunii au fost
colectate, sintetizate, analizate şi interpretate toate tipurile de
probe de audit: fizice, verbale, documentare și analitice.
De menționat că rezultatele misiunii de follow-up au fost expuse
în prezentul Raport, axându-se pe următoarele aspecte:
· constatarea auditului precedent cu privire la
carențele/neajunsurile identificate cu referire la domeniul
auditat;
· cerința/recomandarea înaintată prin Hotărârea Curții de
Conturi nr.48 din 05.12.2016;
· sinteza acțiunilor realizate de către entitatea vizată în
dispozitivul Hotărârii în vederea remedierii neajunsurilor
constatate;
· concluziile auditului urmare a procedurilor de audit
efectuate, cu evaluarea nivelului de implementare a
cerinței/recomandării;
· concluziile generale ale misiunii de verificare, precum și
recomandările înaintate.
I. CONSTATĂRI
1.1. Măsurile întreprinse pentru executarea cerințelor expuse în
Hotărârea Curții de Conturi nu au asigurat în deplină măsură
eliminarea neajunsurilor constatate de auditul precedent.
Pe parcursul perioadei de referință au fost întreprinse anumite
acțiuni în vederea eliminării neajunsurilor constatate de auditul
precedent, precum și sporirii eficienței și performanței SIA din
domeniul AMP, fiind înregistrate anumite progrese. Totuși, acestea
nu au fost suficiente și adecvate pentru atingerea impactului
scontat. Lipsa/insuficiența capacităților instituționale ale CNPDCP
pentru exercitarea conformă a atribuțiilor legale, ale MSMPS pentru
gestionarea eficientă a Sistemului, neasigurarea memoriei
instituționale la nivelul posesorului SIA AMP, a continuității
activităților realizate pe parcursul perioadei de referință
condiționează riscuri majore privind protecția datelor și
sustenabilitatea SIA. Acest fapt impune intervenirea promptă a
managementului instituțiilor respective, prin decizii optime și
rezonabile, în vederea gestionării riscurilor aferente SIA și
sporirii eficacității acestuia.
Cerința auditului precedent
Acțiuni întreprinse
2.1.1.CNPDCP să întreprindă acțiunile corespunzătoare în vederea
implementării recomandărilor expuse în Raportul de audit
au fost întreprinse unele acțiuni în vederea remedierii
neajunsurilor constatate de auditul precedent, aspecte reflectate
în continuare în prezentul Raport
Efectul măsurilor întreprinse: deși au fost întreprinse anumite
acțiuni, acestea, în mare parte, nu au atins impactul scontat.
Astfel, nu a fost asigurată eliminarea neajunsurilor/carențelor
constatate de auditul precedent, acestea persistând și în perioada
de referință (2017-2018). Totodată, auditul relevă că unele acțiuni
întreprinse creează premisele necesare pentru îmbunătățirea
situației constatate, impactul acestora urmând a se materializa
ulterior
Verificările auditului precedent atestă o preocupare
insuficientă privind siguranța datelor și informațiilor cu caracter
personal (îndeosebi a celor ce vizează starea de sănătate)
prelucrate în cadrul sistemelor informaționale (SI), deținute de
către autoritățile publice, precum și privind asigurarea
condițiilor necesare în acest sens. Totodată, s-a evidențiat
necesitatea alinierii la cerințele legislației europene cu referire
la protecția datelor cu caracter personal, revizuirii și ajustării
cadrului normativ în domeniu, potrivit noilor necesități apărute pe
parcurs, inclusiv prin elaborarea unor instrucțiuni sectoriale (în
domeniul medical) privind protecția unor astfel de informații,
precum și asigurarea condițiilor rezonabile/suficiente pentru
realizarea monitorizării/controlului corespunzător asupra aplicării
conforme a acestora. În același context, s-a relevat că CNPDCP, în
calitatea sa de garant al respectării protecției datelor cu
caracter personal, din cauza insuficienței capacităților necesare
(inclusiv de resurse umane, financiare), precum și a unor proceduri
adecvate nu a intervenit în măsura corespunzătoare, prin utilizarea
pârghiilor/instrumentelor legale disponibile, pentru aducerea în
concordanță cu norma legală prelucrarea datelor cu caracter
personal din domeniul medical, evidențiind, totodată, și
necesitatea consolidării procedurilor interne în scopul asigurării
gestionării adecvate a riscurilor aferente activității
Centrului.
Evaluând activitățile realizate de către CNPDCP pe parcursul
perioadei de referință în vederea conformării cu cerințele și
recomandările înaintate de Curte prin Hotărârea nr.48 din
05.12.2016, se atestă un grad de executare relativ redus. Astfel,
din totalul de 12 recomandări înaintate, 4 (33%) au fost calificate
ca fiind implementate, 6 (50%) recomandări – parțial implementate,
iar 2 (17%) recomandări – neimplementate. Analiza nivelului de
implementare a recomandărilor înaintate de auditul precedent al
Curții de Conturi se prezintă în Figura nr.1 din prezentul
Raport.
Figura nr.1. Analiza gradului de implementare de către CNPDCP a
recomandărilor înaintate de Curtea de Conturi urmare a auditului
precedent, în perioada 2017 – 2018
Sursă: Elaborat de către auditor în baza procedurilor de audit
efectuate.
Reieșind din faptul că acțiunile întreprinse de entitatea vizată
nu au asigurat în deplină măsură eliminarea neajunsurilor
constatate, contribuind, totodată, la crearea condițiilor necesare
îmbunătățirii situației atestate, auditul consideră cerința ca
fiind executată parțial.
Cerința auditului precedent
Acțiuni întreprinse
2.1.2. CNPDCP să examineze, în comun cu Ministerul Finanțelor,
după caz, cu alte autorități, posibilitatea identificării
mijloacelor financiare necesare pentru dezvoltarea Registrului de
evidență a operatorilor de date cu caracter personal, cu includerea
acestora în bugetul instituției
La solicitarea CNPDCP, Ministerul Finanțelor a identificat și
planificat în CBTM 2018-2020 mijloace financiare pentru asigurarea
lucrărilor de mentenanță, după caz, ajustarea și actualizarea SIA
REODCP
Efectul măsurilor întreprinse: identificarea preliminară a
necesităților de dezvoltare, planificare a resurselor financiare
pentru dezvoltarea SIA. Totuși, nefiind realizate, pe parcursul
perioadei verificate, ajustări/actualizări necesare în Sistem, nu
s-a asigurat eliminarea neajunsurilor constatate, inclusiv
valorificarea potențialelor beneficii și oportunități ale SIA
respectiv
Verificările auditului precedent a constatat un șir de
neajunsuri și carențe aferente funcționării și performanței SIA
Registrul de evidență a operatorilor de date cu caracter personal
(SIA REODCP). Totodată, auditul denotă că SIA respectiv, dezvoltat
și implementat corespunzător, ar constitui un instrument eficient
în procesul monitorizării prelucrării datelor cu caracter personal,
inclusiv prin oferirea rapoartelor aferente activității Centrului.
În aceeași ordine de idei, auditul relevă că, deși potrivit
Conceptului SIA[footnoteRef:9], Registrul urma să reprezinte
„instrumentul cheie care va automatiza activitatea CNPDCP”, oferind
facilități de recepționare şi procesare on-line a solicitărilor din
partea operatorilor de date cu caracter personal şi subiecților
datelor cu caracter personal, emiterea deciziilor, generarea
rapoartelor de analiză şi monitorizare a situației la zi la
momentul desfășurării activității de audit precedente, acesta nu
asigură oferirea în totalitate Centrului a celor specificate,
îndeosebi a rapoartelor necesare activității instituției. [9: Cap.
I pct.1 alin.3) din Hotărârea Guvernului nr.883 din 25.11.2011 „Cu
privire la aprobarea Conceptului tehnic al sistemului informațional
automatizat „Registrul de stat al operatorilor de date cu caracter
personal” (în continuare – Hotărârea Guvernului nr.883 din
25.11.2011).]
Prezenta misiune relevă că, deși au fost planificate resurse
pentru dezvoltarea SIA respectiv, precum și planificate, potrivit
Planului de acțiuni privind implementarea recomandărilor înaintate
de Curte, a activităților de evaluare a necesităților de dezvoltare
a SIA REODCP în scopul eficientizării activității Centrului, pe
parcursul perioadei de referință, nu au fost realizat/ă un
studiu/analiză a necesităților de dezvoltare a Sistemului, nici
efectuate ajustări/modificări în Sistem.
Potrivit motivației CNPDCP, noile reglementări din proiectul
Legii privind protecția datelor cu caracter
personal[footnoteRef:10] nu prevăd obligativitatea operatorilor de
date cu caracter personal de a se înregistra la Centru în calitate
de operatori de date cu caracter personal în formula actuală, adică
prin intermediul resursei informaționale automatizate vizate.
Astfel, în vederea racordării cadrului național din domeniul
protecției datelor cu caracter personal la noile reglementări și
proceduri europene, potrivit proiectului de Lege menționat supra,
operatorii de date cu caracter personal în mare parte vor stabili
individual măsurile de securitate la prelucrarea datelor în SI. În
opinia auditului, lipsa unor prevederi exprese în proiectul de Lege
nominalizat referitor la existența și funcționarea Registrului
respectiv, nu rezultă nemijlocit în lichidarea Registrului. Or,
necesitatea dezvoltării și menținerii Sistemului rezidă și din
scopul, obiectivele și beneficiile acestuia în eficientizarea
activității Centrului. [10: Proiect de lege votat la 30.11.2018 în
prima lectură în Plenul Parlamentului, care rezonează și transpune
Regulamentul (UE) 2016/679 al Parlamentului European și al
Consiliului din 27 aprilie 2016 privind protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal
și privind libera circulație a acestor date și de abrogare a
Directivei 95/46/CE.]
Reieșind din cele constatate, auditul atestă implementarea
cerinței. Totodată, în contextul adoptării proiectelor de lege
nominalizate, aceasta își va pierde actualitatea/relevanța.
Cerința auditului precedent
Acțiuni întreprinse
2.2.1.MS să examineze rezultatele auditului în cadrul ședinței
Colegiului Ministerului Sănătății, în scopul informării acestuia
despre rezultatele auditului și intensificării eforturilor necesare
pentru asigurarea funcționării adecvate a SIA AMP, cu respectarea
prevederilor cu referire la protecția datelor cu caracter personal
din domeniul medical
Rezultatele auditului Curții de Conturi au fost examinate în
cadrul Colegiului. Ca urmare, a fost emis Ordinul MS nr.919 din
25.11.2016 prin care a fost aprobat planul de acțiuni privind
implementarea recomandărilor Curții de Conturi
Efectul măsurilor întreprinse: stabilirea acțiunilor necesare
pentru remedierea carențelor și disfuncționalităților constatate de
auditul precedent, cu determinarea responsabililor și a termenelor
de realizare a acestora
În contextul celor menționate, auditul atestă executarea
cerinței înaintate.
Cerința auditului precedent
Acțiuni întreprinse
2.2.2. MS să întreprindă măsurile necesare în vederea eliminării
deficiențelor constatate de audit, prin implementarea
recomandărilor expuse în Raportul de audit
- în conformitate cu Ordinul MS nr.919 din 25.11.2016, a fost
instituit grupul de lucru responsabil de întreprinderea măsurilor,
au fost stabilite obiectivele, subdiviziunile responsabile și
termenele preconizate de execuție, elaborat și aprobat planul de
acțiuni privind implementarea recomandărilor;
- a fost emisă Dispoziția MS nr.731 d din 24.11.2016, prin care
a fost instituit grupul de lucru responsabil de elaborarea și
definitivarea actelor normative necesare pentru implementarea și
darea în exploatare a SIA AMP;
- au fost întreprinse un șir de măsuri menite să elimine
neajunsurile și problemele constatate de auditul precedent (aspecte
redate în continuare în prezentul Raport)
Efectul măsurilor întreprinse: remedierea unor carențe și
neconformități constatate de auditul precedent, precum și crearea
anumitor condiții necesare pentru îmbunătățirea situației aferente
protecției datelor cu caracter personal în SIA AMP. Totodată,
insuficiența acțiunilor de remediere, precum și alți factori
subiectivi sau obiectivi au condiționat persistența unor probleme
și neajunsuri elucidate de misiunea anterioară a Curții de Conturi,
fapt care afectează performanța și siguranța SI
Evaluând activitățile realizate de către MSMPS pe parcursul
perioadei de referință în scopul conformării cu cerințele și
recomandările înaintate de Curte prin Hotărârea nr.48 din
05.12.2016, se atestă un grad de executare relativ redus, fapt
condiționat de o serie de factori obiectivi (modificările operate
în cadrul normativ și instituțional, fluctuația personalului
implicat în implementarea SIA AMP, precum și neasigurarea memoriei
instituționale, procesul îndelungat de legiferare a actelor
normative etc.), cât și subiectivi (monitorizarea și, după, caz,
implicarea insuficientă de către responsabili, neasigurarea
condițiilor suficiente în vederea eliminării integrale a
neajunsurilor constatate). Astfel, din totalul de 16 recomandări
înaintate MS, dintre care 2 în comun cu CNAM și ÎS „CRIS
„Registru””, 3 (18%) au fost calificate ca fiind implementate, 12
(75%) recomandări – parțial implementate, iar 1 recomandare (6%) –
neimplementată, aspecte redate și în Figura nr.2 din prezentul
Raport.
Figura nr.2. Analiza gradului de implementare a recomandărilor
de către MS în perioada 2017-2018
Sursă: Elaborat de către auditor în baza rezultatelor
procedurilor de audit efectuate.
Reieșind din faptul că acțiunile întreprinse de entitatea vizată
nu au asigurat în deplină măsură eliminarea neajunsurilor
constatate, auditul atestă executarea parțială a cerinței
înaintate.
Cerința auditului precedent
Acțiuni întreprinse
2.2.3.MS să întreprindă acțiunile corespunzătoare în vederea
asigurării conformării instituțiilor medicale din subordine la
cadrul legal din domeniul protecției datelor cu caracter personal,
în special în partea ce ține de identificarea sistemelor de
evidență gestionate și înregistrarea în calitate de operatori de
date cu caracter personal
- prin Ordinul MSMPS nr.1499 din 14.12.2018[footnoteRef:11], a
fost aprobat Regulamentul cu privire la structura și funcționarea
SIA AMP, precum și stabilite măsurile necesare pentru utilizarea
Sistemului, inclusiv a celor de acces la acesta, precum și
asigurarea protecției datelor și securității informațiilor în acest
sens; [11: Ordinul MSMPS nr.1499 din 14.12.2018 „Cu privire la
utilizarea Sistemului Informațional Automatizat Asistență Medicală
Primară în cadrul Prestatorilor de servicii medicale din Republica
Moldova, care prestează servicii medicale de asistență medicală
primară, precum și asistență medicală specializată de ambulator”,
în continuare – Ordinul MSMPS nr.1499 din 14.12.2018.]
- prin Ordinul MSMPS nr.1497 din 14.12.2018[footnoteRef:12], a
fost aprobată Politica de securitate a datelor cu caracter personal
în cadrul SIA, fiind stabilite responsabilitățile Prestatorilor de
servicii de AMP privind întreprinderea măsurilor necesare pentru
elaborarea și implementarea Politicii de securitate la nivelul
instituțiilor; [12: Ordinul MSMPS nr.1497 din 14.12.2018 „Cu
privire la aprobarea Politicii de securitate a datelor cu caracter
personal în cadrul Sistemelor Informaționale Automatizate (SIA)”,
în continuare – Ordinul MSMPS nr.1497 din 14.12.2018.]
- a fost elaborat și înaintat, în modul stabilit, proiectul
Hotărârii Guvernului „Pentru alocarea semnăturilor electronice
avansate calificate a utilizatorilor Sistemului informațional
automatizat „Asistența Medicală Primară””, care la moment este la
etapa de consultare;
- a fost elaborat conceptul Agenției Tehnologii Informaționale
în Sănătate, care se preconiza să preia sarcinile de administrare,
mentenanță și audit a SIA AMP;
- a fost aprobată Hotărârea Guvernului nr.164 din
07.03.2019[footnoteRef:13], care stabilește obligativitatea
autentificării în SIA AMP prin serviciul guvernamental de
autentificare MPass; [13: Hotărârea Guvernului nr.164 din
07.03.2019 „Privind modul de autentificare în Sistemul
informațional automatizat „Asistența Medicală Primară””, în
continuare - Hotărârea Guvernului nr.164 din 07.03.2019.]
- în scopul realizării Hotărârii Guvernului nr. 164 din
07.03.2019, a fost emis Ordinul MSMPS nr.338 din 15.03.2019;
- conform prevederilor Hotărârii menționate, prin scrisoarea
nr.01-6/40 din 15.03.2019, Ministerul a remis Serviciului
Tehnologii Informaționale și Securitate Cibernetică (STISC) Lista
prestatorilor de servicii medicale, care utilizează SIA AMP, în
vederea creării semnăturilor electronice avansate utilizatorilor
Sistemului respectiv. De asemenea, prin Ordinul menționat au fost
indicați prestatorilor de servicii medicale pașii care necesită a
fi întreprinși pentru a solicita crearea semnăturilor electronice
pentru utilizatorii SIA AMP
Efectul măsurilor întreprinse: crearea condițiilor privind
asigurarea conformării instituțiilor medicale la prevederile
cadrului normativ aferent domeniului protecției datelor cu caracter
personal, impactul acestora urmând a fi cuantificat ulterior
Verificările efectuate în cadrul misiunii de follow-up denotă că
acțiunile realizate de către Minister în perioada de referință au
creat condițiile necesare pentru asigurarea pe viitor a conformării
cu cerințele regulamentare în materie de securitate și protecție a
datelor cu caracter personal. În context, se relevă că, odată cu
aprobarea Hotărârii Guvernului nr.138 din 27.02.2019,
responsabilitatea privind administrarea și dezvoltarea ulterioară a
SIA AMP a fost delegată Companiei Naționale de Asigurări în
Medicină (CNAM). Astfel, actele normative care reglementează
structura și modul de utilizare și asigurare a securității SIA AMP
urmează a fi ajustate la noile condiții/necesități.
Totodată, procedurile de audit realizate au determinat
persistența unor carențe/disfuncționalități și neajunsuri
condiționate de insuficiența și, după caz, ineficiența măsurilor
întreprinse în vederea remedierii acestora, aspecte redate în
continuare în prezentul Raport.
În contextul celor expuse, auditul atestă executarea parțială a
cerinței înaintate.
Cerința auditului precedent
Acțiuni întreprinse
2.2.4.MS să inițieze, de comun cu instituțiile ale căror procese
au fost automatizate și integrate în SIA AMP, o revizuire completă
a cadrului normativ relevant activității lor, ținând cont de
utilizarea SI respectiv în acest sens, cu înaintarea propunerilor
de rigoare în modul stabilit
- pe parcursul perioadei de referință, MS a elaborat un set de
acte normative care reglementează structura și modul de utilizare
și asigurare a securității datelor din SIA AMP, aspecte menționate
anterior;
- în scopul ajustării cadrului normativ la cerințele ce țin de
punerea în aplicare a sistemelor informaționale care includ
procesarea datelor cu caracter personal în domeniul medical, MS a
elaborat și înaintat în modul stabilit propunerile de rigoare
pentru modificarea și completarea Hotărârii Guvernului nr.586 din
24.07.2017, care au fost aprobate prin Hotărârea Guvernului nr.283
din 04.04.2018[footnoteRef:14] [14: Hotărârea Guvernului nr.283 din
04.04.2018 „Cu privire la modificarea şi completarea Hotărârii
Guvernului nr.586 din 24 iulie 2017”.]
Efectul măsurilor întreprinse: crearea premiselor necesare
pentru asigurarea funcționării conforme a SIA AMP
În contextul acțiunilor realizate pe parcursul perioadei de
referință de către Minister, auditul consideră cerința ca fiind
executată.
Cerința auditului precedent
Acțiuni întreprinse
2.2.5.MS să asigure, de comun cu CNPDCP, conformarea prelucrării
datelor cu caracter personal din domeniul medical la cerințele
legale aferente
- organizarea și realizarea ședințelor comune de lucru cu
participarea MS și CNPDCP privind conformarea SIA AMP la cerințele
cadrului normativ relevant și asigurarea condițiilor necesare
pentru înregistrarea SIA AMP în REODCP deținut de Centru;
- CNPDCP s-a expus asupra unui set de documente elaborat de MS
în vederea înregistrării SIA AMP în SI REODCP, precum și a ghidat
și oferit consultări MS și unor instituții medicale prin descrierea
pașilor ce urmează a fi întreprinși în vederea înregistrării atât a
SI din domeniu, cât și necesitatea identificării altor sisteme de
evidență a datelor cu caracter personal gestionate, pentru
asigurarea conformării procesului de prelucrare a datelor personale
la cadrul normativ din domeniu;
- urmare a recomandărilor din partea CNPDCP, MS a definitivat și
aprobat setul de acte care reglementează structura, modul de
utilizare și funcționare a SIA AMP, nominalizate anterior;
- pe parcursul anului 2018, în baza plângerilor înaintate de
unii subiecți de date, CNPDCP a inițiat 5 controale ale legalității
prelucrării datelor cu caracter personal în domeniul medical, în
urma cărora au fost emise decizii privind constatarea încălcării
Legii privind protecția datelor cu caracter personal de către
instituții medicale sau angajați – cadre medicale din cadrul
acestora, inclusiv cu intervenirea în calitate de agent
constatator
Efectul măsurilor întreprinse: asigurarea condițiilor necesare
și asigurarea conformării prelucrării datelor la cerințele cadrului
legal în vigoare, cu înregistrarea, după caz, a unor instituții
medicale în calitate de operator de date cu caracter personal,
inclusiv a sistemelor de evidență. Potrivit datelor prezentate de
CNPDCP, în perioada 2017- 2018, 17 instituții medicale s-au
conformat prevederilor legale din domeniul protecției datelor
personale, fiind înregistrate în SI REODCP, în calitate de
operatori cu mai multe sisteme de evidență gestionate. Totodată,
deși au fost create condițiile necesare pentru asigurarea
funcționării conforme a SIA AMP, lipsa unui mecanism eficient de
monitorizare condiționează riscuri aferente atingerii rezultatelor
scontate în acest sens
Examinările efectuate în cadrul misiunii de follow-up relevă că,
deși s-a evidențiat intensificarea activităților de înregistrare a
instituțiilor medicale în SIA deținut de CNPDCP, precum și sporirea
nivelului de conștientizare a necesităților și cerințelor aferente
domeniului protecției datelor, totuși, în opinia auditului, acestea
nu au fost în deplină măsură suficiente, fiind necesare măsuri
continue de informare și supraveghere a activităților de conformare
a instituțiilor din domeniul medical la cerințele cadrului normativ
în domeniu. În context, urmare a procedurilor de audit efectuate,
inclusiv a intervievărilor și chestionărilor realizate în cadrul
MSMPS și unor IMSP, s-a constatat că unele neconformități atestate
de auditul precedent (neînregistrarea în SIA REODCP,
lipsa/insuficiența controalelor/instrucțiunilor aferente protecției
datelor, inclusiv în raport cu părțile terțe etc.), au persistat și
pe parcursul perioadei de referință (aspecte redate în continuare
în prezentul Raport).
De menționat că, în perioada desfășurării misiunii de
verificare, din 12 IMSP chestionate[footnoteRef:15], 6
IMSP[footnoteRef:16] s-au conformat cerințelor legale privind
înregistrarea în calitate de operator de date cu caracter personal
în Registrul deținut de Centru, iar alte 3 IMSP[footnoteRef:17] au
inițiat acțiunile necesare în acest sens. În contextul celor
expuse, cerința este calificată ca fiind parțial implementată. [15:
IMSP „CMF Bălți”, IMSP „AMT „Ciocana””, IMSP „AMT „Buiucani””, IMSP
„AMT „Râșcani””, IMSP „AMT „Botanica””, IMSP Centrele de Sănătate
nr.1 și nr.2 și IMSP Spitalul raional din Orhei, IMSP „Centrul de
Sănătate” și IMSP Spitalul raional Călărași, IMSP „Centrul de
sănătate Cimișlia”, IMSP „Clinica Universitară de Asistență
Medicală Primară”.] [16: IMSP „CMF Bălți”, IMSP „AMT „Ciocana””,
IMSP „AMT „Buiucani””, IMSP „AMT „Râșcani””, IMSP „AMT „Botanica””,
IMSP Centrul de Sănătate nr.2 din raionul Orhei.] [17: IMSP
„Centrul de Sănătate” din raionul Călărași, IMSP „Centrul de
sănătate Cimișlia”, IMSP „Clinica Universitară de Asistență
Medicală Primară”.]
Cerința auditului precedent
Acțiuni întreprinse
2.3. Instituțiile medico-sanitare publice: AMT „Centru”, „CMF
mun. Bălți” și „Clinica Universitară de Asistență Medicală
Primară”, pentru întreprinderea măsurilor necesare de asigurare a
alinierii la normele privind protecția datelor cu caracter
personal, prin implementarea recomandărilor din Raportul de
audit
În scopul implementării recomandărilor de audit, IMSP menționate
au întreprins, pe parcursul perioadei de referință, măsurile
necesare în scopul eliminării neajunsurilor constatate de auditul
precedent, aspecte redate în continuare în prezentul Raport
Efectul măsurilor întreprinse: cu unele rezerve de îmbunătățire,
instituțiile medicale respective au asigurat condițiile necesare
pentru conformarea activității cu cerințele regulamentare privind
protecția datelor cu caracter personal, inclusiv prin: consolidarea
cadrului normativ intern aferent domeniului protecției datelor cu
caracter personal, intensificarea procedurilor de monitorizare și
asigurare a prelucrării datelor cu caracter personal etc.
Verificările efectuate în cadrul misiunii de follow-up denotă
că, pe parcursul perioadei de referință, măsurile întreprinse de
către IMSP auditate au avut ca scop îmbunătățirea situației privind
protecția datelor cu caracter personal prelucrate în SI utilizate,
consolidarea cadrului normativ intern aferent domeniului respectiv,
precum și a controalelor generale ale Sistemelor utilizate în
procesul de prestare a serviciilor de AMP.
De menționat că, potrivit prevederilor Ordinului MSMPS nr.1499
din 14.12.2018[footnoteRef:18], începând cu data de 15.12.2018,
toți prestatorii de servicii medicale din Republica Moldova, care
prestează servicii de AMP și asistență medicală spitalicească de
ambulatoriu urmează să utilizeze SIA AMP în activitatea lor de
prestare a serviciilor de AMP și de raportare către organele de
resort. [18: Pct.4 din Ordinul MSMPS nr.1499 din 14.12.2018 „Cu
privire la utilizarea Sistemului Informațional Automatizat
Asistență Medicală Primară în cadrul Prestatorilor de servicii
medicale din Republica Moldova, care prestează servicii medicale de
asistență medicală primară precum și asistență medicală
specializată de ambulator”, în continuare – Ordinul MSMPS nr.1499
din 14.12.2018.]
Astfel, misiunea de follow-up relevă că, deși odată cu aprobarea
Ordinului MSMPS menționat s-a inițiat implementarea la nivel
național a SIA AMP de către instituțiile medicale, din cauza unor
carențe și disfuncționalități în funcționare, acesta necesită
dezvoltări și îmbunătățiri în scopul asigurării performanței
funcționării și conformării lui cu cerințele actuale. În context,
IMSP AMT „Centru” și IMSP CMF Bălți, în perioada desfășurării
activității de verificare, utilizau SIA „MedEx 2.0.” (sistem
local), asigurând, prin implementarea diferitor controale,
conformitatea respectării cerințelor de securitate și protecție
informațională.
Generalizând rezultatele procedurilor de audit efectuate,
auditul conchide că, pe parcursul perioadei 2017 – 2018,
instituțiile medicale auditate au realizat un șir de acțiuni menite
să asigure conformarea cu prevederile cadrului normativ aferent
protecției datelor cu caracter personal, inclusiv cu eliminarea
anumitor neajunsuri constatate de auditul precedent. Totodată,
unele acțiuni vizate creează premisele necesare pentru asigurarea
pe viitor a îmbunătățirii situației în domeniu și implementarea
unor mecanisme de monitorizare și control în acest sens.
În contextul celor expuse, auditul concluzionează că, din 7
recomandări formulate și înaintate celor 3 IMSP verificate de
auditul precedent, 5 (71%) recomandări au fost calificate ca fiind
implementate, iar 2 (29%) – parțial implementate. În același timp,
auditul constată că, odată cu implementarea SIA AMP în cadrul
instituțiilor nominalizate, recomandările implementate parțial nu
vor mai fi actuale/relevante, vezi Figura nr.3.
Figura nr.3. Analiza gradului de implementare a recomandărilor
de către IMSP auditate,
în perioada 2017 - 2018
Sursă: Elaborat de către auditor în baza analizelor și
verificărilor efectuate.
Reieșind din cele expuse, auditul atestă executarea cerinței
înaintate.
Cerința auditului precedent
Acțiuni întreprinse
2.4. Compania Națională de Asigurări în Medicină, Î.S. „CRIS
„Registru””, implementarea, de comun cu Ministerul Sănătății, a
recomandărilor din Raportul de audit
Au fost întreprinse măsurile necesare pentru implementarea
cerinței înaintate
Efectul măsurilor întreprinse: crearea condițiilor necesare
pentru funcționarea eficientă a SIA AMP, prin asigurarea schimbului
de date în acest scop
Reieșind din constatările misiunii de follow-up, se atestă
executarea cerinței înaintate.
Cerința auditului precedent
Acțiuni întreprinse
2.5.Ministerului Tehnologiei Informației și Comunicațiilor,
Centrului de Guvernare Electronică, pentru documentare și oferirea
consultanței/asistenței corespunzătoare Ministerului Sănătății la
implementarea SIA AMP
La solicitările MS nr.01-9/293 din 23.02.2017 și nr. 01-9/335
din 03.03.2017, MTIC a examinat proiectul hotărârii Guvernului cu
privire la aprobarea Conceptului tehnic al SIA „Asistența Medicală
Primară” și Regulamentului de funcționare al SIA „Asistența
Medicală Primară”, precum și proiectul hotărârii Guvernului cu
privire la aprobarea Conceptului tehnic și Regulamentului de
funcționare al SIA „Asistența Medicală Spitalicească”. Drept
rezultat, în adresa MS a fost remis avizul MTIC nr.01/302 din
14.03.2017. Totodată, conform solicitării MS nr.01-9/631 din
26.04.2017, MTIC a examinat proiectul hotărârii Guvernului cu
privire la aprobarea Regulamentului „Sistemul Informațional Medical
Integrat”. Drept rezultat, în adresa MS a fost remis avizul MTIC
nr.01/579 din 17.05.2017.
Concomitent, pe marginea obiecțiilor și propunerilor expuse în
cadrul avizelor MTIC, au avut loc 3 ședințe de lucru cu
reprezentanții MS, în cadrul cărora a fost discutată și agreată
redacția compatibilă cu prevederile legislației în vigoare în
domeniul resurselor și sistemelor informaționale de stat
Efectul măsurilor întreprinse: crearea condițiilor necesare
pentru reglementarea funcționării SIA AMP, prin stabilirea cadrului
normativ necesar
În contextul acțiunilor realizate, auditul atestă executarea
cerinței înaintate.
Cerința auditului precedent
Acțiuni întreprinse
2.7. Guvernului Republicii Moldova, pentru întreprinderea
măsurilor de rigoare în vederea:
Potrivit scrisorii Cancelariei de Stat nr.21-05-1138 din
22.02.2019:
2.7.1.asigurării punerii în concordanță a actelor
legislativ-normative ale autorităților publice centrale cu Legea
nr.133 din 08.07.2011
în vederea respectării angajamentului Republicii Moldova din
Planul național de acțiuni pentru implementarea Acordului de
Asociere Republica Moldova – Uniunea Europeană, în partea ce ține
de promovarea noului cadru normativ a protecției datelor cu
caracter personal, la 30.11.2018 Parlamentul a adoptat în prima
lectură proiectul Legii privind protecția datelor cu caracter
personal și proiectul Legii privind Centrul Național pentru
Protecția Datelor cu Caracter Personal (CNPDCP), elaborate de
Ministerul Justiției în comun cu CNPDCP. În lectura a II-a,
proiectele vor fi adoptate de următoarea legislatură parlamentară.
Astfel, activitatea de conformare a hotărârilor de Guvern și a
actelor normative ale autorităților administrației publice cu noul
cadru legislativ în domeniul protecției datelor cu caracter
personal urmează a fi inițiată după adoptarea legilor
menționate
2.7.2.revizuirii, în comun cu Ministerul Sănătății, a cadrului
legal şi ajustarea acestuia referitor la stabilirea formei
organizatorico-juridice a entități care va fi responsabilă de
asigurarea gestionării tuturor SI din domeniul sănătății
La 08.05.2018 a fost emisă Hotărârea Guvernului nr.414 „Cu
privire la măsurile de consolidare a centrelor de date în sectorul
public și de raționalizare a administrării sistemelor
informaționale de stat". Aceasta are drept scop asigurarea
realizării activităților din Strategia națională de dezvoltare a
societății informaționale „Moldova digitală 2020" (Hotărârea
Guvernului nr.857/2013), în partea ce ține de necesitatea
stabilirii și delimitării clare a funcțiilor de elaborare de cele
de implementare a politicii statutului în domeniul securității
cibernetice, precum și de efectuare a auditării securității
cibernetice.
Hotărârea Guvernului nr.414/2018 prevede o serie de măsuri și
reforme instituționale, în baza infrastructurilor și instituțiilor
existente. Urmare a implementării acestor măsuri, ministerele și
alte autorități administrative centrale subordonate Guvernului au
fost absolvite de necesitatea gestionării implementării și
administrării proiectelor TI, astfel revenindu-le partea de
planificare strategică a utilizării tehnologiilor moderne în
sectorul corespunzător (strategiile sectoriale de e-guvernare),
participarea la conceptualizarea soluțiilor/proiectelor TI și
utilizarea soluțiilor implementate.
De asemenea, prin Hotărârea Guvernului nr.414/2018,
Întreprinderea de Stat ,,Centrul de Telecomunicații Speciale" a
fost reorganizată în Instituția publică ,,Serviciul Tehnologii
Informaționale și Securitate Cibernetică" (STISC) și investită cu
funcții de administrare tehnică și menținere a sistemelor
informaționale de stat, inclusiv a celor din gestiunea Ministerului
Sănătății, Muncii și Protecției Sociale. În acest context, noua
instituție publică a preluat în posesie și administrare platforma
MCloud și o extinde prin consolidarea centrelor de date existente
în spațiul guvernamental, astfel asigurând o raționalizare și o
aliniere a tuturor centrelor de date la cerințele de securitate și
disponibilitate conform clasificării datelor și a serviciilor. În
prezent, STISC, în conlucrare cu posesorii Sistemelor
Informaționale de stat, asigură migrarea sistemelor în platforma
MCloud, preluând administrarea tehnică a acestora și aplicând
proceduri unificate de administrare, de asigurare a calității și de
suport pentru utilizatori
2.7.3.examinării oportunităților și identificării metodelor de
stimulare/motivare a personalului TI din cadrul instituțiilor de
stat, pentru minimizarea efectului de fluctuație a acestuia,
excluderea dependenței de factorii externi, precum și pentru
asigurarea continuității dezvoltării durabile a domeniului TI
Potrivit Cancelariei de Stat, cadrul normativ de reglementare a
modului de remunerare a personalului TI din sectorul public,
concentrat în marea lui parte în cadrul instituțiilor publice de
profil din subordinea ministerelor (Centrul de Tehnologii
Informaționale în Finanțe) sau a Cancelariei de Stat (Agenția
Servicii Publice, Agenția de Guvernare Electronică și STISC), care
activează pe principiul de autogestiune, este unul suficient și
permite minimizarea efectului de fluctuație a personalului
instituțiilor respective, bazat pe: art.135 și art.136 alin.(4)
lit.a) din Codul muncii al Republicii Moldova nr.154/2003;
art.20-22 din Legea salarizării nr.847/2002; Hotărârea Guvernului
nr.743/2002 ,,Cu privire la salarizarea angajaților din unitățile
cu autonomie financiara"; Hotărârea Guvernului nr.165/2010 „Cu
privire la cuantumul minim garantat al salariului în sectorul
real"
2.2. Nivelul de implementare a recomandărilor din Raportul
misiunii de audit precedente atestă insuficiența, după caz,
ineficiența măsurilor întreprinse în perioada de referință de către
factorii de decizie, fapt ce condiționează persistența
neajunsurilor constatate anterior de Curtea de Conturi.
Pe parcursul anilor 2017 – 2018, entitățile vizate au realizat
anumite acțiuni în vederea consolidării cadrului normativ aferent
domeniului, precum și asigurării conformării la cerințele
regulamentare corespunzătoare. Totodată, deși s-au înregistrat
progrese, nu s-a reușit implementarea în deplină măsură a
recomandărilor înaintate în cadrul misiunii de audit precedente. De
menționat că unele acțiuni vizate creează premisele necesare pentru
asigurarea pe viitor a îmbunătățirii situației în domeniu și
atingerea impactului scontat, iar în cazul unor recomandări
înaintate de auditul precedent, în contextul adoptării noului cadru
normativ în domeniu, acestea își pot pierde actualitatea.
2.2.1. Descrierea neajunsului constatat de auditul precedent
Auditul precedent a constatat carențe în cadrul normativ aferent
domeniului protecției datelor cu caracter personal, precum și
neactualizarea/nearmonizarea actelor normative existente cu
prevederile legale în domeniul supus auditării. Astfel, se
menționează că, deși Curtea de Conturi s-a expus și anterior în
Raportul său de audit asupra necesității actualizării Hotărârii
Guvernului nr.1123 din 14.12.2010[footnoteRef:19], verificările
auditului denotă neactualizarea acesteia. Necesitatea revizuirii
Cerințelor de securitate, aprobate prin Hotărârea Guvernului
menționată, rezidă și prin prisma eliminării discrepanțelor sau
posibilelor interpretări ale unor clauze. Mai mult decât atât,
acestea necesită a fi completate cu alte prevederi, în conformitate
cu standardele internaționale relevante, precum și cu bunele
practici în domeniul securității informației ce nu se regăsesc în
documentul menționat (de exemplu, accesul
dezvoltatorului/furnizorului la sistemele informaționale – mediul
de dezvoltare, teste, producere; asigurarea disponibilității;
managementul schimbării etc.). [19: Hotărârea Curții de Conturi
nr.57 din 05.11.2013 „Privind Raportul auditului tehnologiilor
informaționale cu elemente de performanță „Care au fost progresele
reale și care sunt perspectivele automatizării proceselor în
domeniul afacerilor interne?””.]
Recomandarea auditului precedent
Acțiuni întreprinse
1. CNPDCP să revizuiască și să înainteze, în modul stabilit,
propunerile de rigoare, în scopul actualizării Cerințelor față de
asigurarea securității datelor cu caracter personal la prelucrarea
acestora în cadrul sistemelor informaționale de date cu caracter
personal
Pe parcursul perioadei de referință, în contextul executării
măsurilor de ordin legislativ, prevăzute în Planul național de
acțiuni pentru implementarea Acordului de Asociere Republica
Moldova – Uniunea Europeană în perioada 2017-2019[footnoteRef:20],
CNPDCP a elaborat și înaintat, în modul stabilit, proiecte de acte
legislative[footnoteRef:21] aferente domeniului protecției datelor
cu caracter personal, două dintre care (proiectul Legii privind
protecția datelor cu caracter personal și proiectul Legii privind
Centrul Naţional pentru Protecția Datelor cu Caracter Personal,
care transpun prevederile dreptului comunitar european în materie
de protecție a datelor cu caracter personal[footnoteRef:22]), au
fost aprobate, în prima lectură, la sfârșitul anului 2018, în
Plenul Parlamentului [20: Planul național de acțiuni pentru
implementarea Acordului de Asociere Republica Moldova – Uniunea
Europeană în perioada 2017-2019, aprobat prin Hotărârea Guvernului
nr. 1472 din 30.12.2016.] [21: 1. proiectul Legii privind protecția
datelor cu caracter personal; 2. proiectul Legii privind Centrul
Naţional pentru Protecția Datelor cu Caracter Personal; 3.
proiectul Legii privind regimul mijloacelor video; 4. proiectul
Legii pentru modificarea şi completarea Legii privind prevenirea si
combaterea criminalității informatice. ] [22: Regulamentul (UE)
2016/679 a Parlamentului European și a Consiliului din 27.04.2016
privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date și de abrogare a Directivei 95/46/CE și
Directivei (UE) 2016/680 ale Parlamentului European și ale
Consiliului din 27.04.2016 privind protecția persoanelor fizice
referitor la prelucrarea datelor cu caracter personal de către
autoritățile competente în scopul prevenirii, depistării,
investigării sau urmăririi penale a infracțiunilor sau al
executării pedepselor și privind libera circulație a acestor date
și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, în
continuare – Regulamentul UE.]
Efectul măsurilor întreprinse: dat fiind că acțiunile
întreprinse de către entitatea auditată vizează activități
ulterioare, auditul a fost în imposibilitatea de a cuantifica
efectul măsurilor întreprinse. Totodată, acestea creează premise
pentru implementarea recomandării înaintate
Urmare a examinărilor efectuate, nu au fost identificate acțiuni
de modificare a Cerințelor față de asigurarea securității datelor
cu caracter personal la prelucrarea acestora în cadrul sistemelor
informaționale de date cu caracter personal[footnoteRef:23], ceea
ce denotă persistența riscurilor identificate de misiunea de audit
precedentă. [23: Hotărârea Guvernului nr.1123 din 14.12.2010
„Privind aprobarea Cerințelor față de asigurarea securității
datelor cu caracter personal la prelucrarea acestora în cadrul
sistemelor informaționale de date cu caracter personal”.]
Potrivit motivației entității, acest fapt este condiționat de
adoptarea noilor Legi specificate mai sus. În aceeași ordine de
idei, se relevă că proiectul Legii privind protecția datelor cu
caracter personal conține un capitol distinct[footnoteRef:24], care
reglementează într-o modalitate mai simplă și mai clară
implementarea măsurilor de securitate, oferind operatorilor o marjă
mai mare de a decide asupra măsurilor și mijloacelor de asigurare a
securității datelor, conform noilor tendințe și provocări, având în
acest sens toate instrumentele legale necesare. Drept urmare, odată
cu adoptarea proiectului de lege menționat vor fi operate
modificările de rigoare în cadrul normativ aferent domeniului, în
scopul alinierii la noile cerințe. [24: Capitolul V „Securitatea
prelucrării” din proiectul Legii privind protecția datelor cu
caracter personal.]
Reieșind din cele expuse, și în contextul adoptării și punerii
în aplicare a Legilor nominalizate, recomandarea va putea fi
considerată implementată, ori își va pierde actualitatea.
2.2.2. Descrierea neajunsului constatat de auditul precedent
În aceeași ordine de idei, auditul precedent a identificat și
alte acte normativ-legislative neajustate la Legea nr.133 din
08.07.2011, unele dintre acestea fiind prezentate în Anexa nr.5 la
Raportul de audit respectiv. Mai mult decât atât, existența unor
neconcordanțe între prevederile Legii nr.133 din 08.07.2011 și
Legii nr.131 din 08.06.2012[footnoteRef:25] influențează într-o
anumită măsură asupra procedurilor de control desfășurate de
Centru, existând mai multe inadvertențe, în special, de ordin
procedural, precum și al obiectului de reglementare. [25: Legea
nr.131 din 08.06.2012 cu privire la controlul de stat asupra
activității de întreprinzător, cu modificările și completările
ulterioare.]
Recomandarea auditului precedent
Acțiuni întreprinse
2. CNPDCP să examineze și să înainteze Guvernului propuneri
privind ajustarea actelor normative în vigoare aferente protecției
datelor cu caracter personal
Acțiunile menționate la compartimentul aferent recomandării cu
nr.1, precum și:
- în comun cu experții din cadrul Proiectului
Twininng[footnoteRef:26], inițierea activităților de revizuire și
consolidare a cadrului normativ în domeniu, pentru a pune în
aplicare pe deplin principiile de protecție a datelor în sectorul
respectiv şi armonizarea acestora cu proiectul de lege privind
protecția datelor şi cu legislația UE. Prin intermediul
proiectului, în total, vor fi revizuite 28 de acte legislative și
normative; [26: Proiectul Twinning „Consolidarea capacităților
Centrului pentru Protecția Datelor cu Caracter Personal al RM”,
finanțat de Uniunea Europeană și implementat în perioada octombrie
2017 - octombrie 2018 de către Fundația Germană pentru cooperare
juridică Internațională (IRZ) și de Ministerul Justiției din
Letonia, în continuare – Proiectul Twinning, după caz, Proiectul
Twinning de consolidare a capacităților CNPDCP.]
- în temeiul prevederilor art. 32 alin. (2) al Legii nr.100 din
22.12.2017[footnoteRef:27], pe parcursul anului 2018 au fost supuse
avizării de către Centru 87 de proiecte de acte normative
naționale/internaționale[footnoteRef:28] sub aspectul protecției
drepturilor și libertăților persoanelor fizice, în privința
prelucrării datelor cu caracter personal, fiind înaintate obiecții,
recomandări și propuneri de rigoare, prin prisma necesității
respectării reglementărilor legale referitoare la protecția datelor
cu caracter personal [27: Legea nr.100 din 22.12.2017 cu privire la
actele normative, în continuare – Legea nr.100 din 22.12.2017.]
[28: 13 proiecte de acorduri/tratate internaționale; 27 proiecte de
acte normative ale Parlamentului; 47 proiecte de acte normative ale
Guvernului şi ale altor autorități.]
Efectul măsurilor întreprinse: acțiunile realizate creează
premisele necesare în vederea actualizării și armonizării cadrului
normativ în domeniu, în perioada desfășurării misiunii de follow-up
nefiind posibil de cuantificat/apreciat impactul acestora.
Totodată, prin avizarea actelor normative naționale/internaționale,
s-a asigurat conformarea acestora cerințelor cadrului normativ în
domeniul protecției datelor cu caracter personal
Reieșind din cele expuse, precum și din faptul că acțiunile
întreprinse urmează să producă efect în perspectivă (ulterior), în
perioada desfășurării misiunii de follow-up s-a atestat
implementarea recomandării vizate.
Potrivit explicațiilor CNDCP, „având în vedere că în prezent
Centrul se află în proces de actualizare și armonizare a cadrului
normativ național în domeniul protecției datelor cu caracter
personal la noile reglementări europene din domeniu, fiind
elaborate și adoptate în prima lectură de Parlamentul RM proiectul
Legii privind protecția datelor cu caracter personal și proiectul
de Lege privind Centrul Naţional pentru Protecția Datelor cu
Caracter Personal; de asemenea sunt în deplină desfășurare
activități de revizuire a cadrului normativ conex, pentru a pune în
aplicare pe deplin principiile de protecție a datelor, inclusiv în
sectorul medical, considerăm această recomandare/cerință
irelevantă, în special în contextul în care, ulterior intrării în
vigoare a prevederilor legale noi, cadrul normativ aferent va
trebui ajustat noilor cerințe legale”.
2.2.3. Descrierea neajunsului constatat de auditul precedent
Auditul precedent a relevat faptul că, în conformitate cu art.20
din Legea nr.133 din 08.07.2011, Centrului i-a fost delegată
atribuția de emitere a instrucțiunilor pentru aducerea procesului
de prelucrare de date cu caracter personal în conformitate cu
prevederile legii, fără atingerea sferei de competență a altor
organe. În context, s-a constatat că Centrul a elaborat un proiect
al Instrucțiunii privind prelucrarea datelor cu caracter personal
privind starea de sănătate, care are ca scop aducerea operațiunilor
de prelucrare a datelor respective, efectuate de autoritățile
administrației publice centrale şi locale în domeniul sănătății şi
instituțiile medico-sanitare publice și private din Republica
Moldova în conformitate cu principiile de protecție a datelor cu
caracter personal.
Recomandarea auditului precedent
Acțiuni întreprinse
3. CNPDCP să asigure definitivarea și aprobarea în modul
stabilit a Instrucțiunii cu privire la protecția datelor cu
caracter personal în domeniul medical, cu
promovarea/informarea/instruirea ulterioară a operatorilor de date
cu caracter personal
Planificarea elaborării, începând cu luna decembrie 2018, în
cadrul Proiectului Twinning de consolidare a capacităților CNPDCP a
7 instrucțiuni în sfera finanțe, mass-media, supravegherea video,
comunicațiile electronice, aplicarea legii procesului electoral și
sănătate/domeniul medical
Efectul măsurilor întreprinse: nu a fost posibil de identificat.
Totodată, lipsa unor instrucțiuni în domeniul protecției datelor
privind starea de sănătate, influențează asupra realizării scopului
preconizat
Ca rezultat al examinărilor efectuate, se denotă că, deși
potrivit Planului de acțiuni privind implementarea recomandărilor
de audit ale Curții de Conturi, CNPDCP și-a planificat, până în
trimestrul I al anului 2018, definitivarea, aprobarea și promovarea
instrucțiunii nominalizate, în perioada desfășurării misiunii de
follow-up acțiunea nu a fost realizată. Totodată, s-a constatat
planificarea acțiunii respective pentru realizare cu suportul
experților din cadrul Proiectului Twinning.
Astfel, potrivit motivației entității, conform Proiectului
Twinning, activitățile/acțiunile din cadrul căruia au suportat în
ultima perioadă modificări având în vedere prioritizarea acestora,
Instrucțiunea cu privire la protecția datelor cu caracter personal
în domeniul medical, de rând cu alte instrucțiuni preconizate, va
fi elaborată în lunile mai-iunie ale anului 2019.
Reieșind din cele expuse, auditul atestă implementarea parțială
a recomandării înaintate.
2.2.4. Descrierea neajunsului constatat de auditul precedent
După cum s-a menționat anterior (la cerința nr.2.1.2 din
Hotărârea Curții de Conturi nr.48 din 05.12.2016), carențele și
disfuncționalitățile, inclusiv tehnice, ale SIA REODCP deținut de
Centru afectează în mod direct eficiența și eficacitatea
Registrului, cu impact și asupra eficienței activității CNPDCP,
solicitând intervenții și dezvoltări în scopul asigurării atingerii
scopului stabilit.
Recomandarea auditului precedent
Acțiuni întreprinse
4. CNPDCP să realizeze o evaluare a necesităților de dezvoltare
a SIA „Registrul de evidență a operatorilor de date cu caracter
personal”, în scopul eficientizării acestuia și optimizării
activității
· au fost identificate necesitățile de dezvoltare a SIA
menționat, fiind înaintată Ministerului Finanțelor argumentarea
privind cheltuielile necesare în acest sens, care au fost acceptate
şi incluse în bugetul CNPDCP pentru anul 2018;
· planificarea realizării pe parcursul anului 2018 a unui studiu
de fezabilitate al SI
Efectul măsurilor întreprinse: identificarea și planificarea
resurselor pentru îmbunătățirea SIA REODCP, care, însă, nu au fost
realizate pe parcursul perioadei de referință, fapt ce denotă
persistența neajunsurilor constatate de auditul precedent
Verificările prezentei misiuni denotă că, deși au fost
planificate anumite acțiuni, precum și inițiate unele analize, pe
parcursul perioadei de referință n a fost realizat un studiu
exhaustiv privind necesitățile de dezvoltare/îmbunătățire a SIA
nominalizat, nici operate modificări/dezvoltări la acesta.
Potrivit motivației entității, după cum s-a menționat și la
cerința nr.2.1.2., odată cu adoptarea noii Legi privind protecția
datelor cu caracter personal, va fi exclusă obligativitatea
operatorilor de date cu caracter personal de a se înregistra la
Centru în calitate de operator de date cu caracter personal, în
formula aplicabilă în prezent – prin intermediul REODCP, operatorii
fiind obligați, pe propria răspundere, să respecte normele de
securitate a datelor cu caracter personal, stabilite individual în
funcție de specificul operațiunilor de prelucrare și categoria
datelor prelucrate, modificare care are scop de a transpune
principiul responsabilizării operatorului de date cu caracter
personal.
Mai mult decât atât, acest fapt este susținut și prin
concluziile experților proiectului Twinning expuse urmare a
analizei legislației privind protecția datelor cu caracter personal
coroborat la prevederile Regulamentului european privind protecția
datelor (GDPR). În acest context, în opinia entității, decade
necesitatea dezvoltării în continuare a SIA REODCP.
Reieșind din cele expuse, auditul califică implementarea
parțială a recomandării. Totodată, în contextul adoptării
modificărilor ulterioare în cadrul legislativ respectiv,
recomandarea devine irelevantă.
2.2.5. Descrierea neajunsului constatat de auditul precedent
În conformitate cu prevederile cadrului
normativ-legislativ[footnoteRef:29], Centrului îi sunt oferite
principalele instrumente legislative în vederea asigurării unei
monitorizări adecvate a respectării legislației privind protecția
datelor cu caracter personal de către operatorii de date cu
caracter personal, respectiv, de persoanele împuternicite de
aceștia. Totodată, în contextul Legii nr.229 din
23.09.2010[footnoteRef:30], precum și în contextul implementării
Standardelor naționale de control intern[footnoteRef:31], una din
cerințe vizează descrierea (narativă și/sau schematică) a
proceselor operaționale ale instituției. O astfel de descriere ar
ajuta entitatea să identifice rezervele de îmbunătățire a
proceselor și procedurilor interne, precum și o mai bună gestionare
a riscurilor la nivelul entității. Constatările auditului precedent
denotă că entitatea nu dispunea de proceduri exhaustive și
documente aferente procesului de monitorizare a prelucrării datelor
cu caracter personal, în vederea stabilirii potențialilor operatori
de date, a sistemelor de evidență a datelor cu caracter personal,
inclusiv a SIA ce prelucrează date cu caracter personal. [29:
Hotărârea Guvernului nr.1123 din 14.12.2010; Hotărârea Guvernului
nr.296 din 15.05.2012 „Privind aprobarea Regulamentului Registrului
de evidență a operatorilor de date cu caracter personal” (în
continuare – Hotărârea Guvernului nr. 296 din 15.05.2012); Ordinul
Directorului CNPDCP nr.14 din 12.05.2014 „Cu privire la aprobarea
Regulamentului privind controlul legalității prelucrărilor de date
cu caracter personal” (în continuare – Regulamentul).] [30: Legea
nr.229 din 23.09.2010 privind controlul financiar public intern (în
continuare – Legea nr.229 din 23.09.2010).] [31: Ordinul
ministrului Finanțelor nr.182 din 05.11.2015 „Cu privire la
aprobarea Standardelor naționale de control intern în sectorul
public”.]
Recomandarea auditului precedent
Acțiuni întreprinse
5. CNPDCP să instituie proceduri adecvate privind monitorizarea
prelucrării datelor cu caracter personal
În vederea implementării proiectelor de legi menționate supra,
CNPDCP, împreună cu experții rezidenți din cadrul proiectului
Twinning, a inițiat elaborarea cadrului său normativ intern,
inclusiv a instrucțiunilor/manualelor privind desfășurarea
procedurilor de investigație a legalității operațiunilor de
prelucrare a datelor cu caracter personal, precum și a celor de
supraveghere, monitorizare și prevenire a încălcării principiilor
de protecție a datelor cu caracter personal
Efectul măsurilor întreprinse: măsurile întreprinse creează
anumite premise/condiții pentru îmbunătățirea modului de
monitorizare/supraveghere a conformității prelucrării datelor,
însă, la momentul desfășurării misiunii de verificare, impactul
acțiunilor nu poate fi cuantificat
Verificările misiunii de follow-up atestă că, pe parcursul
perioadei de referință, au fost inițiate anumite acțiuni de
consolidare a cadrului normativ intern aferent activității CNPDCP,
inclusiv prin elaborarea de către experții Twinning a unor proiecte
de documente, fapt ce denotă implementarea parțială a recomandării
înaintate de Curte.
2.2.6. Descrierea neajunsului constatat de auditul precedent
Conform art.23 din Legea nr.133 din 08.07.2011, operatorii de
date cu caracter personal sunt obligați să notifice CNPDCP, înainte
de prelucrarea datelor cu caracter personal destinate să servească
unui scop. Constatările auditului precedent relevă că, deși pe
pagina web a Centrului este disponibil Manualul de utilizare pentru
operatorii de date în Registru[footnoteRef:32], în scopul
facilitării, precum și asigurării completării corecte a
formularului de notificare de către operatorul de date, sunt
necesare proceduri documentate, aprobate în modul stabilit, care
pot lua forma unui Ghid sau Regulament, potrivit bunelor practici
ale autorităților similare din alte țări. Mai mult decât atât, este
necesar a fi stabilite clar condițiile notificării, inclusiv
documentele obligatorii pentru a fi prezentate de către entitate
Centrului în vederea notificării/înregistrării, în scopul evitării
riscurilor de tratare neunivocă a operatorilor de date de către
registrator. [32:
https://registru.datepersonale.md/documents/10192/0/Manual%20Operator%20date%20RODCAP_3.0.pdf]
Recomandarea auditului precedent
Acțiuni întreprinse
6. CNPDCP să elaboreze instrucțiuni clare și exhaustive privind
modalitatea notificării de către operatorii de date cu caracter
personal a SI către Centru, în scopul facilitării înțelegerii
procesului de completare a formularelor de notificare, a altor
proceduri adiționale înregistrării în calitate de operator de
date
· CNPDCP a elaborat Ghidul privind procedura de înregistrare a
operatorilor și a sistemelor de evidență a datelor cu caracter
personal, aprobat prin Ordinul Directorului CNPDCP nr.18 din
15.06.2018, care concretizează acțiunile ce urmează să fie
efectuate în vederea asigurării realizării obligațiunilor stabilite
de art. 23 al Legii privind protecția datelor cu caracter personal,
care a fost publicat pe pagina oficială a CNPDCP[footnoteRef:33];
[33: http://datepersonale.md/md/cen/]
· de asemenea, au fost făcute modificări primare pe pagina
oficială a CNPDCP, în partea ce vizează procedura de înregistrare a
operatorilor și a sistemelor de evidență a datelor cu caracter
personal
Efectul măsurilor întreprinse: crearea anumitor condiții care
facilitează procesul de înțelegere/notificare de către operatorii
de date cu caracter personal
Analizele efectuate în cadrul misiunii de verificare relevă că,
deși au fost realizate anumite acțiuni pentru facilitarea
procesului de notificare, acestea nu au luat forma unor proceduri
documentate, aprobate în modul stabilit, potrivit bunelor practici
ale autorităților similare din alte țări. De menționat că, potrivit
cadrului normativ aferent elaborării actelor
normative[footnoteRef:34], Regulamentele, instrucțiunile, regulile
şi alte acte normative ale autorităților administrației publice
centrale de specialitate şi ale autorităților publice autonome se
aprobă prin hotărâre sau ordin care se semnează de către
conducătorii autorităților emitente. [34: Art.16 din Legea nr.100
din 22.12.2017.]
Potrivit motivației entității, în conformitate cu reglementările
dreptului comunitar european în materie de protecție a datelor cu
caracter personal, în special Regulamentul (UE) 2016/679, prin noul
proiect de Lege a fost exclusă obligația operatorilor de a notifica
sistemele de evidență a datelor personale către CNPDCP, prin
intermediul Registrului de evidență a operatorilor de date cu
caracter personal. În aceste circumstanțe, dispare necesitatea
elaborării altor instrucțiuni sau actualizării celor existente,
precum şi promovării acestora, în contextul prevăzut la această
recomandare.
Reieșind din cele expuse, auditul atestă implementarea
recomandării în cauză.
2.2.7. Descrierea neajunsului constatat de auditul precedent
Constatările auditului precedent denotă că, contrar prevederilor
cadrului normativ-legislativ relevant[footnoteRef:35], inclusiv ale
Regulamentului privind controlul legalității prelucrărilor de date
cu caracter personal, pentru exercitarea atribuțiilor sale de
efectuare a controlului legalității/conformității prelucrării
datelor cu caracter personal, în perioada 2014-2016, Centrul nu a
planificat controale asupra prelucrării datelor cu caracter
personal, activitatea de control axându-se prioritar pe efectuarea
controalelor inopinate (în baza autosesizărilor sau
petițiilor/sesizărilor). [35: Art.26 din Legea nr.133 din
08.07.2011 privind protecția datelor cu caracter personal (în
continuare – Legea nr.133 din 08.07.2011).]
Recomandarea auditului precedent
Acțiuni întreprinse
7. CNPDCP să planifice și să asigure realizarea, în modul
stabilit, a controalelor conformității prelucrării datelor cu
caracter personal, în scopul asigurării atribuțiilor prioritare
delegate prin Legea organică
inițierea și realizarea controalelor, a sarcinilor atribuite de
lege în perioada de referință a fost efectuată exclusiv în temeiul
plângerilor subiecților de date, prin solicitarea de informații din
oficiu, fără a efectua controlul la fața locului
Efectul măsurilor întreprinse: neplanificarea controalelor
asupra conformității prelucrării datelor cu caracter personal, în
modul stabilit de cadrul normativ, determină nerealizarea conformă
a atribuțiilor privind verificarea corespunderii cu cerințele și
îndeplinirii condițiilor legale de către operator sau persoana
împuternicită de către acesta
Verificările misiunii de follow-up, inclusiv analiza
informațiilor oferite de Centru, relevă că până în prezent nu au
fost întreprinse acțiuni concrete pentru conformarea entității la
prevederile legale menționate. Astfel, se constată că și pe
parcursul perioadei de referință activitatea de control a Centrului
s-a axat prioritar pe efectuarea controalelor inopinate.
Potrivit motivației entității, „creșterea numărului de plângeri
transmise în adresa CNPDCP, precum și complexitatea acțiunilor
întreprinse de angajați în cadrul activității de control asupra
conformității prelucrării datelor cu caracter personal nu permite
efectuarea controalelor planificate”. Totodată, în cadrul
proiectului Twinning, cu suportul experților străini, au fost
elaborate proiecte de acte normative, manuale privind procedura de
prevenire/supraveghere și monitorizare, care au drept obiectiv de a
stabili o procedură standard pentru angajații CNPDCP privind
monitorizarea/supravegherea operațiunilor de prelucrare a datelor
și prevenirea încălcării principiilor de protecție a datelor cu
caracter personal. În aceeași ordine de idei, proiectul noii Legi
privind protecția datelor cu caracter personal prevede competențele
CNPDCP de a investiga și soluționa cazurile de încălcare ale
dispozițiilor normative în domeniul protecției datelor personale,
cu sau fără ieșirea la fața locului, în anumite
situații[footnoteRef:36]. [36: a) la depunerea cererii subiectului
de date sau a reprezentantului legal privind neconformitatea
prelucrării datelor personale; b) la sesizarea din oficiu sau în
cazul în care Centrul a fost informat ori dispune de informații
privind încălcarea în masă, sistemică sau gravă a principiilor de
protecție a datelor cu caracter personal, cazurile de importanță
socială ori în cazurile de supraveghere și prevenire va iniția
activitățile de ajustare/consolidare a procedurilor aferente
activității.]
Reieșind din cele constatate, la momentul desfășurării misiunii
de follow-up se atestă neimplementarea recomandării menționate.
2.2.8. Descrierea neajunsului constatat de auditul precedent
Verificările auditului precedent relevă că, în contextul
extinderii automatizării proceselor de business ale entităților
publi